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A. Problem 

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Ra- 
tes zum Schutz natürlicher Personen bei der Verarbeitung perso- 
nenbezogener Daten und zum freien Datenverkehr (EU-DSRL) 
verlangt bis Oktober 1998 eine grundlegende Überarbeitung des 
nationalen Datenschutzrechts. Außerdem hat sich gezeigt, daß 
das seit 1990 geltende Datenschutzgesetz nicht in der Lage ist, 
angesichts neuer Entwicklungen der Informations- und Kommu- 
nikationstechnik einen ausreichenden rechtlichen Gestaltungs- 
rahmen mit dem Ziel des angemessenen Schutzes des allgemei- 
nen Persönlichkeitsrechts bzw. des Rechts auf informationeile 
Selbstbestimmung abzugeben. Die Erfahrungen mit dem BDSG 
lassen in zunehmendem Maße Vollzugsprobleme und Vollzugsde- 
fizite erkennen. Die dafür ursächlichen Regelungsdefizite und da- 
mit die bestehende Rechtsunsicherheit sollen mit dem Gesetzent- 
wurf behoben werden. 


B. Lösung 

Das BDSG wird bezüglich Terminologie, Struktur und Inhalt an 
die EU-DSRL angepaßt. Entsprechend der Forderung der Daten- 
schutzbeauftragten des Bundes und der Länder werden die Vor- 
schriften für den öffentlichen und den privaten Bereich mit dem 
Ziel eines hohen Schutzes der Betroffenen vereinheitlicht. Die 
Rechte der Betroffenen und die Transparenz der Datenverarbei- 
tung werden ausgebaut. Das Instrument der Technikfolgenab- 
schätzungwird eingeführt. Die Datenschutzkontrolle wird verbes- 
sert. Darüber hinaus werden u. a. folgende Vorschläge der Daten- 
schutzbeauftragten umgesetzt: 

- Erweiterung des Schutzbereichs, Regelung der Videoüberwa- 
chung, 

- stärkere Einbeziehung von Presse und Medien, 

- Sonderregelung für besonders empfindliche Bereiche, wie den 
Umgang mit Arbeitnehmerdaten oder Gesundheitsdaten, 
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- Ausrichtung des Rechts auf die Gegebenheiten moderner Mul- 
timediaanwendungen (anonyme Nutzung, Datensparsamkeit), 

- Regelung für Chipkartenanwendungen, 

- Schutz bei Persönlichkeitsbewertungen durch den Computer, 

- verbesserter Schutz gegenüber Adressenhandel und Direkt- 
marketing, 

- Verbesserung des Datenschutzes bei grenzüberschreitender 
D aten Verarbeitung . 


C. Alternativen 

Die Beschränkung der Novellierung des BDSG auf die Anpassung 
an die EU-DSRL würde kurzfristig eine erneute Novellierung nö- 
tig machen und die Rechtsunsicherheit erhöhen. 


D. Kosten 

Mit direkten zusätzlichen Kosten ist nicht zu rechnen. Die Verein- 
fachung des Rechts wird in einigen Bereichen zu Einsparungen 
führen. Neue datenschutzrechtliche Instrumente (z. B. Technikfol- 
genabschätzung, Führung von Widerspruchslisten beim Bundes- 
beauftragten) können gewisse Mehrkosten verursachen. Diese 
Maßnahmen ermöglichen jedoch zugleich Einsparungen bei den 
verarbeitenden Stellen. 
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Entwurf eines Bundesdatenschutzgesetzes (BDSG) 


Der Bundestag hat mit Zustimmung des Bundesra- 
tes das folgende Gesetz beschlossen: 
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ERSTER ABSCHNITT 
Allgemeine Bestimmungen 


ERSTER UNTERABSCHNITT 

Grundlagen 

§1 

Zweck und Anwendungsbereich des Gesetzes 

(1) Zweck dieses Gesetzes ist der Schutz der 
Grundrechte, insbesondere der Privatsphäre und des 
Rechts auf informationelle Selbstbestimmung, bei 
der Verarbeitung personenbezogener Daten. 

(2) Dieses Gesetz gilt für die Verarbeitung perso- 
nenbezogener Daten durch 

1. öffentliche Stellen des Bundes und 

2. nicht öffentliche Stellen, soweit diese personenbe- 
zogene Daten nicht ausschließlich für persönliche 
und private Zwecke verarbeiten und die Daten au- 
tomatisiert oder in einer strukturierten Sammlung, 
die nach bestimmten Kriterien zugänglich ist, ge- 
speichert werden, gespeichert werden sollen oder 
aus einer solchen Datensammlung stammen. 

(3) Soweit eine Stelle, die ihren Sitz in einem ande- 
ren Mitgliedstaat der Europäischen Union hat, im In- 
land personenbezogene Daten verarbeitet und eine 
Niederlassung unterhält, sind die Vorschriften dieses 
Gesetzes anzuwenden. Dieses Gesetz findet auch 
Anwendung, soweit eine Stelle außerhalb der Euro- 
päischen Union personenbezogene Daten im Inland 
verarbeitet; in diesem Fall hat die verarbeitende Stel- 
le einen im Inland ansässigen Vertreter zu benennen, 
dem die Rechte und Pflichten der verarbeitenden 
Stelle obhegen. Dieses Gesetz findet keine Anwen- 
dung, sofern eine in einem anderen Mitgliedstaat der 
Europäischen Union gelegene Stelle personenbezo- 
gene Daten im Inland verarbeitet, ohne daß sie im In- 
land eine Niederlassung unterhält. Es findet auch 
keine Anwendung, wenn die Verarbeitung nur dem 
Zweck der Durchfuhr durch das Gebiet der Europäi- 
schen Union dient. 

(4) Soweit besondere Rechtsvorschriften des Bun- 
des und der Europäischen Gemeinschaften die Verar- 
beitung personenbezogener Daten regeln, gehen sie 
den Vorschriften dieses Gesetzes vor. Die Vorschrif- 
ten dieses Gesetzes gehen denen des Verwaltungs- 
verfahrensgesetzes vor, soweit personenbezogene 
Daten verarbeitet werden. 

§2 

Öffentliche und nicht öffentliche Stellen 

(1) Öffentliche Stellen sind die Behörden, die Or- 
gane der Rechtspflege und andere öffentlich-recht- 
lich organisierte Einrichtungen des Bundes, eines 
Landes, einer Gemeinde, eines Gemeindeverbandes 
und sonstige der Aufsicht des Bundes oder eines 
Landes unterstehende Personen des öffentlichen 
Rechts sowie Körperschaften, Anstalten und Stiftun- 


gen des öffentlichen Rechts. Öffentliche Stellen sind 
auch entsprechende Stellen in den Mitgliedstaaten 
der Europäischen Union sowie Stellen der Europäi- 
schen Union. 

(2) Öffentliche Stellen sind auch juristische Perso- 
nen und sonstige Vereinigungen des privaten Rechts, 
soweit den in Absatz 1 genannten Stellen die abso- 
lute Mehrheit der Anteile gehört oder die absolute 
Mehrheit der Stimmen zusteht. 

(3) Öffentliche Stellen des Bundes im Sinne dieses 
Gesetzes sind öffentliche Stellen nach den Absätzen 
1 und 2, wenn 

1. sie Einrichtungen des Bundes sind oder der Auf- 
sicht des Bundes unterstehen, 

2. sie regelmäßig über den Bereich eines Landes 
oder bestimmter Länder hinaus tätig werden oder 

3. dem Bund die absolute Mehrheit der Anteile ge- 
hört oder die absolute Mehrheit der Stimmen zu- 
steht. 

(4) Nicht öffentliche Stellen sind natürliche und ju- 
ristische Personen, Gesellschaften und andere Perso- 
nenvereinigungen des privaten Rechts, soweit sie 
nicht unter die Absätze 1 und 2 fallen. Als nicht 
öffentliche Stellen gelten öffentlich-rechtliche Reli- 
gionsgesellschaften und Stellen in Staaten außerhalb 
der Europäischen Union. Nimmt eine nicht öffent- 
liche Stelle hoheitliche Aufgaben der öffentlichen 
Verwaltung wahr, ist sie insoweit öffentliche Stelle 
im Sinne dieses Gesetzes. 

§3 

Weitere Begriffsbestimmungen 

(1) Personenbezogene Daten sind Angaben über 
persönüche oder sachliche Verhältnisse einer be- 
stimmten oder bestimmbaren natürlichen Person (be- 
troffene Person). 

(2) Automatisiert ist eine Verarbeitung personenbe- 
zogener Daten, die unter Einsatz von elektronischen 
Datenverarbeitungs Systemen durchgeführt wird. 

(3) Verarbeiten (Verarbeitung) ist jeder Umgang 
mit personenbezogenen Daten und umfaßt das Erhe- 
ben, Speichern, Nutzen, Übermitteln, Veröffentli- 
chen, Verändern, Sperren und Löschen. Im einzelnen 
ist 

1. Erheben das Beschaffen von Daten über die be- 
troffene Person, 

2. Speichern das Erfassen, Aufnehmen oder Aufbe- 
wahren personenbezogener Daten auf einem Da- 
tenträger zum Zweck ihrer weiteren Verarbeitung, 

3. Nutzen jede sonstige Verwendung personenbezo- 
gener Daten innerhalb der verarbeitenden Stelle 
einschließlich ihrer Weitergabe, 

4. Übermitteln das Bekanntgeben oder sonstige Of- 
fenbaren personenbezogener Daten an Dritte, ins- 
besondere durch Weitergabe an Dritte oder durch 
Einsichtnahme oder Abruf von hierzu bereitge- 
stellten Daten, 


4 




Deutscher Bundestag - 13. Wahlperiode 


Drucksache 13/9082 


5. Veröffentlichen das Übermitteln an eine unbe- 
stimmte Zahl von Dritten, 

6. Verändern das inhaltliche Umgestalten gespei- 
cherter personenbezogener Daten, 

7. Sperren das Kennzeichnen gespeicherter perso- 
nenbezogener Daten, um die weitere Verarbei- 
tung einzuschränken, 

8. Löschen das Unkenntlichmachen gespeicherter 
personenbezogener Daten. 

(4) Anonymisieren ist das Verändern personenbe- 
zogener Daten derart, daß die Angaben über persön- 
liche oder sachliche Verhältnisse nicht mehr oder nur 
mit einem unverhältnismäßigen Aufwand an Zeit, 
Kosten und Arbeitskraft einer bestimmten oder be- 
stimmbaren natürlichen Person zugeordnet werden 
können. 

(5) Verarbeitende Stelle ist jede Person oder Stelle, 
die allein oder gemeinsam mit anderen über die 
Zwecke und Mittel der Verarbeitung von personen- 
bezogenen Daten entscheidet, unabhängig davon, 
ob sie die Daten selbst verarbeitet oder durch andere 
im Auftrag verarbeiten läßt. 

(6) Dritter ist jede Person oder Stelle außerhalb der 
verarbeitenden Stelle. Dritte sind nicht die betroffene 
Person sowie diejenigen, die im Inland oder im Ho- 
heitsgebiet eines anderen Mitgliedstaates der Euro- 
päischen Union personenbezogene Daten im Auftrag 
verarbeitet. Empfänger ist jede Person, die personen- 
bezogene Daten erhält (Dritte als Übermittlungsemp- 
fänger und Auftragsdatenverarbeiter). 

(7) Datenschutzkontrollinstanzen sind der Bundes- 
beauftragte für den Datenschutz sowie die Aufsichts- 
behörden nach § 48. 

§4 

Zulässigkeit der Datenverarbeitung 

Die Verarbeitung personenbezogener Daten ist 
nur zulässig, wenn dieses Gesetz oder eine andere 
Rechtsvorschrift sie erlaubt oder anordnet oder so- 
weit die betroffene Person eingewilligt hat. 

§5 

Einwilligung 

(1) Einwilligung ist die widerrufliche, freiwillig und 
eindeutig bestimmbar abgegebene Willenserklärung 
einer betroffenen Person, einer bestimmten Daten- 
verarbeitung zuzustimmen. 

(2) Die Einwilligung bedarf der Schriftform, es sei 
denn, daß wegen besonderer Umstände eine andere 
Form angemessen ist. Soll die Einwilligung zusam- 
men mit anderen Erklärungen schriftlich erteilt wer- 
den, ist die Einwilligungserklärung im äußeren Er- 
scheinungsbild hervorzuheben. Die betroffene Per- 
son ist auf den Zweck, Inhalt und Umfang der Verar- 
beitung hinzuweisen sowie, unter Darlegung der Fol- 
gen, daß sie die Einwilligung verweigern und wider- 
rufen kann. 


(3) Die Einwilligung kann auch elektronisch erklärt 
werden, wenn sichergestellt ist, daß 

1. sie nur durch eindeutige und bewußte Handlung 
der betroffenen Person erfolgen kann, 

2. sie nicht unerkennbar verändert werden kann, 

3. die Urheberschaft erkannt werden kann, 

4. diese protokolliert wird und 

5. deren Inhalt von der betroffenen Person jederzeit 
ohne unverhältnismäßigen Aufwand zur Kenntnis 
genommen werden kann. 

§6 

Datenerhebung 

(1) Personenbezogene Daten sind bei der betroffe- 
nen Person zu erheben. Sie ist über die speichernde 
Stelle, den Zweck der Erhebung und die beabsich- 
tigte weitere Verarbeitung sowie über eine zugrun- 
deliegende Rechtsvorschrift aufzuklären. Soweit eine 
Auskunftspflicht besteht oder die Gewährung von 
Rechtsvorteilen die Angaben von Daten voraussetzt, 
ist die betroffene Person hierauf, sonst auf die Frei- 
willigkeit ihrer Angaben hinzuweisen. Die betroffene 
Person ist über die Empfänger oder Kategorien von 
Empfängern sowie über ihre Datenschutzrechte auf- 
zuklären, soweit dies nicht auf Grund der Umstände 
unangemessen ist. 

(2) Ohne Mitwirkung der betroffenen Person dür- 
fen Daten nur erhoben werden, wenn 

1. eine Rechtsvorschrift dies vorsieht oder zwingend 
voraussetzt, 

2. die erfüllende Aufgabe oder der Geschäftszweck 
eine Erhebung bei anderen Personen oder Stellen 
erforderlich macht oder 

3. die Erhebung bei der betroffenen Person einen un- 
verhältnismäßigen Aufwand erfordern würde 

und keine Anhaltspunkte dafür bestehen, daß über- 
wiegende schutzwürdige Interessen der betroffenen 
Person beeinträchtigt werden. Erfolgt die Erhebung 
über die betroffene Person bei einem Dritten, der 
nicht öffentliche Stelle ist, so ist dieser entsprechend 
Absatz 1 Satz 2 und 3 aufzuklären. 

§7 

Verantwortung bei der Datenübermittlung 

Die Verantwortung für die Zulässigkeit der Über- 
mittlung personenbezogener Daten trägt die über- 
mittelnde Stelle. Erfolgt die Übermittlung auf Grund 
eines Ersuchens einer öffentlichen Stelle, so hat die 
übermittelnde Stelle lediglich zu prüfen, ob sich das 
Übermittlungsersuchen im Rahmen der Aufgaben 
des Empfängers hält. Die Rechtmäßigkeit prüft sie, 
wenn hierzu Anlaß besteht; der Empfänger hat der 
übermittelnden Stelle die für diese Prüfung erforder- 
lichen Angaben zu machen. 
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§8 

Datenübermittlung in Drittländer 

(1) Für die Übermittlung an Stellen außerhalb der 
Europäischen Union sowie an über- und zwischen- 
staatliche Stellen sind die für die Übermittlung gel- 
tenden Vorschriften anzuwenden, wenn im Drittland 
ein angemessenes Datenschutzniveau gewährleistet 
ist. 

(2) Die Angemessenheit des Datenschutzniveaus 
wird unter Berücksichtigung aller Umstände festge- 
stellt, die bei der Datenübermittlung von Bedeutung 
sind. Herangezogen werden können insbesondere 

- die Art der Daten, 

- die Zweckbestimmung sowie die Dauer der ge- 
planten Verarbeitung, 

- das Herkunfts- und das Bestimmungsland, 

- die im Drittland geltenden Rechtsnormen, Stan- 
desregeln und Sicherheitsmaßnahmen. 

(3) Die Verantwortung für die Zulässigkeit der 
Übermittlung trägt die übermittelnde Stelle. Der 
Empfänger ist darauf hinzuweisen, daß die übermit- 
telten Daten nur zu den Zwecken verarbeitet werden 
dürfen, für die sie übermittelt werden. 

(4) Ist im Drittland kein angemessenes Daten- 
schutzniveau gewährleistet, so steht dieser Umstand 
der Übermittlung nicht entgegen, wenn 

1. die betroffene Person ihre Einwilligung erteilt hat, 

2. die Übermittlung im Rahmen eines Vertragsver- 
hältnisses oder vertragsähnlichen Vertrauensver- 
hältnisses mit der betroffenen Person erforderlich 
ist, 

3. die Übermittlung zum Abschluß oder zur Erfüllung 
eines Vertrags erforderlich ist, der im Interesse der 
betroffenen Person von der verarbeitenden Stelle 
mit einem Dritten geschlossen wurde oder ge- 
schlossen werden soll, 

4. die Übermittlung für die Wahrung eines überwie- 
genden öffentlichen Interesses oder zur Geltend- 
machung eines rechtlichen Interesses erforderlich 
ist, 

5. die Übermittlung für die Wahrung lebenswichtiger 
Interessen der betroffenen Person erforderlich ist, 

6. die Übermittlung aus einem für die Öffentlichkeit 
bestimmten Register erfolgt. 

(5) Unbeschadet von Absatz 4 kann die zuständige 
Datenschutzkontrollinstanz eine Übermittlung oder 
eine Kategorie von Übermittlungen genehmigen, 
wenn die speichernde Stelle ausreichende Garantien 
hinsichtlich des Schutzes der in § 1 Abs. 1 genannten 
Grundrechte bietet; diese Garantien können sich aus 
Vertragsklauseln ergeben. 

(6) Die Datenschutzkontrollinstanzen unterrichten 
die zuständigen Stellen der übrigen Mitgliedstaaten 
der Europäischen Union und der Europäischen Kom- 
mission über Drittländer ohne angemessenes Daten- 
schutzniveau nach Absatz 1 sowie über die erteilten 
Genehmigungen nach Absatz 5. 


(7) Sonstige datenschutzrechtliche Regelungen zur 
Übermittlung bleiben unberührt. 

§9 

Allgemeine Grundsätze: Zweckbindung, 
Erforderlichkeit, Datenvermeidung, 
Datensicherheit, Transparenz 

(1) Die Verarbeitung personenbezogener Daten ist 
nur zulässig, wenn es zur Erfüllung der Aufgaben 
oder der Geschäftszwecke der verarbeitenden Stelle 
erforderlich ist und für Zwecke erfolgt, für die die Da- 
ten erhoben oder gespeichert worden sind. Dies gilt 
nicht für nicht automatisierte Vorentwürfe und Noti- 
zen, die nicht Bestandteil eines Vorgangs werden. 
Die Zweckbegrenzung erfolgt grundsätzlich auch 
durch das genutzte Datenverarbeitungssystem und 
den jeweiligen Verarbeitungszusammenhang. 

(2) Die Verarbeitung für einen anderen Zweck ist 
immer unzulässig, wenn dieser mit dem bisherigen 
Verarbeitungszweck unvereinbar ist. Die Erstellung 
von Persönlichkeitsprofilen ist unzulässig. 

(3) Stellen, die selbst oder im Auftrag personenbe- 
zogene Daten verarbeiten, haben die technischen 
und organisatorischen Maßnahmen zu treffen, die er- 
forderlich sind, um 

1. so wenige personenbezogene Daten wie möglich 
zu verarbeiten, 

2. die Ausführung datenschutzrechtlicher Vorschrif- 
ten, insbesondere die Maßnahmen der Datensi- 
cherheit, sicherzustellen und 

3. für die betroffenen Personen und für die Daten- 
schutzkontrolle Öffentlichkeit und Nachvollzieh- 
barkeit (Transparenz) zu gewährleisten. 

§ 10 

Besondere Regelungen zur Zweckbindung 

(1) Personenbezogene Daten, die ausschließlich zu 
Zwecken der Datenschutzkontrolle, der Datensiche- 
rung oder zur Sicherstellung eines ordnungsge- 
mäßen Betriebes eines automatisierten Verfahrens 
oder Datenverarbeitungssystems gespeichert wer- 
den, dürfen nur für diese Zwecke verwendet werden. 

(2) Eine Verarbeitung für andere Zwecke liegt 
nicht vor, soweit sie zur Wahrnehmung von Auf- 
sichts- und Kontrollbefugnissen oder der Rechnungs- 
prüfung erforderlich ist. Dies gilt auch für die Verar- 
beitung zu Ausbüdungs- und Prüfungszwecken oder 
für die Durchführung von Organisationsuntersu- 
chungen, soweit nicht überwiegende schutzwürdige 
Interessen der betroffenen Person entgegenstehen. 

§11 

Datengeheimnis 

Den bei der Datenverarbeitung beschäftigten Per- 
sonen ist untersagt, personenbezogene Daten unbe- 
fugt zu verarbeiten (Datengeheimnis). Diese Perso- 
nen sind bei der Aufnahme ihrer Tätigkeit auf das 
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Datengeheimnis zu verpflichten. Das Datengeheim- 
nis besteht auch nach Beendigung der Tätigkeit fort. 

§ 12 

Verarbeitung besonderer Kategorien von Daten 

(1) Die Verarbeitung von personenbezogenen Da- 
ten über ethnische Herkunft, politische Meinungen, 
religiöse oder philosophische Überzeugungen, Ge- 
werkschaftszugehörigkeit sowie über Gesundheit 
und Sexualleben sowie von Daten, die einem Berufs- 
oder besonderen Amtsgeheimnis unterliegen und die 
von der zur Verschwiegenheit verpflichteten Stelle 
zur Verfügung gestellt worden sind, dürfen von der 
speichernden Stelle nur für den Zweck verarbeitet 
werden, für den sie sie erhalten hat, es sei denn, daß 
die Änderung des Zwecks durch eine Rechtsvor- 
schrift zugelassen ist, die angemessene Garantien 
zum Schutz der in § 1 Abs. 1 genannten Grundrechte 
vorsieht. 

(2) Für einen anderen Zweck dürfen Daten, die ei- 
nem Berufs- oder besonderen Amtsgeheimnis unter- 
liegen und die von der zur Verschwiegenheit ver- 
pflichteten Stelle zur Verfügung gestellt worden sind, 
nur verarbeitet werden, wenn die Änderung des 
Zwecks durch besonderes Gesetz zugelassen ist. 

(3) Die Absätze 1 und 2 sind nicht anwendbar, 
wenn 

1. die Verarbeitung zum Schutz lebenswichtiger In- 
teressen der betroffenen Person oder eines Dritten 
erforderlich ist, 

2. die betroffene Person aus tatsächlichen oder recht- 
lichen Gründen nicht in der Lage ist, ihre Einwilli- 
gung zu erteilen, 

3. die Verarbeitung sich auf Daten bezieht, die die 
betroffene Person selbst öffentlich gemacht hat, 

§ 13 

Automatisierte Entscheidungen 

Niemand darf einer Entscheidung mit rechtlichen 
Folgen oder erheblichen tatsächlichen Auswirkun- 
gen unterworfen werden, die ausschließlich auf die 
automatisierte Verarbeitung personenbezogener Da- 
ten gestützt wird, ohne daß der betroffenen Person 
die Geltendmachung der eigenen Interessen möglich 
gemacht worden ist. 


ZWEITER UNTERABSCHNITT 

Technische und organisatorische Maßnahmen 

§ 14 

Standardmaßnahmen 

Bei der Verarbeitung personenbezogener Daten 
sind die Maßnahmen zu treffen, die nach Art der Ver- 
arbeitung gemäß dem Stand der Technik geeignet 
und angemessen sind, 


1. Unbefugten den Zugang zu personenbezogenen 
Daten zu verwehren (Zugangskontrolle), 

2. zu verhindern, daß gespeicherte Daten unbefugt 
genutzt, verändert oder gelöscht werden können 
(Datenträger-, Speicher- und Benutzerkontrolle), 

3. zu gewährleisten, daß überprüft und festgestellt 
werden kann, an welche Stellen personenbezo- 
gene Daten übermittelt werden können und 
übermittelt wurden (Übermittlungskontrolle), 

4. zu gewährleisten, daß nachträglich überprüft 
und festgestellt werden kann, welche personen- 
bezogenen Daten wann von wem eingegeben, 
verändert, genutzt oder gelöscht worden sind 
(Eingabekontrolle) , 

5. zu gewährleisten, daß in einem vernetzten Sy- 
stem überprüft und festgestellt werden kann, 
von welchen Systemteilen aus Daten genutzt, 
verändert oder weitergegeben worden sind 
(Netzkontrolle), 

6. zu gewährleisten, daß personenbezogene Daten, 
die im Auftrag verarbeitet werden, nur entspre- 
chend den Weisungen des Auftraggebers verar- 
beitet werden können und verarbeitet werden 
(Auftragskontrolle) , 

7. zu verhindern, daß bei der Übertragung sowie 
beim Transport personenbezogene Daten unbe- 
fugt gelesen, kopiert, verändert oder gelöscht 
werden können (Übertragungs- und Transport- 
kontrolle), 

8. zu gewährleisten, daß personenbezogene Daten 
gegen zufällige Zerstörung oder Verlust ge- 
schützt sind (Verfügbarkeitskontrolle), 

9. durch Dokumentation aller relevanten Verarbei- 
tungsschritte die Revisionsfähigkeit eines Daten- 
verarbeitungssystems sicherzustellen (Revisions- 
kontrolle), 

10. die Organisation der Stelle so zu gestalten, daß 
sie den besonderen Anforderungen des Daten- 
schutzes gerecht wird (Organisationskontrolle). 

§15 

Besondere Maßnahmen 

(1) Zur Verbesserung der Datensicherheit soll, so- 
weit dies angemessen ist, eine Verschlüsselung von 
personenbezogenen Daten erfolgen. Sensible Daten 
sollen nur in verschlüsselter Form gespeichert und 
übermittelt werden. 

(2) Die Verarbeitung personenbezogener Daten auf 
Systemen, zu denen der räumliche Zugang nicht be- 
sonderen Schutzvorkehrungen unterliegt, ist nur zu- 
lässig, wenn der unbefugte Zugriff hierauf durch ge- 
eignete Maßnahmen verhindert wird. Das gleiche gilt 
für Systeme, die elektronisch mit öffentlichen Netzen 
verbunden sind. 
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§16 

Grundsätze der Systemgestaltung 

(1) Die Erbringung einer Leistung darf nicht von ei- 
ner Einwilligung der betroffenen Person in eine Ver- 
arbeitung ihrer Daten für andere Zwecke abhängig 
gemacht werden. Die Stelle hat die Leistung auch 
anonym oder unter Pseudonym zu ermöglichen, so- 
weit dies technisch möglich ist. Die das Angebot in 
Anspruch nehmende Person ist über diese Möglich- 
keit zu informieren. 

(2) Bei der Gestaltung und Auswahl informations- 
technischer Produkte hat die verarbeitende Stelle 
sich an dem Ziel auszurichten, keine oder so wenige 
personenbezogene Daten wie möglich zu verarbei- 
ten. Sie hat zu prüfen, ob deren Einsatz mit den Re- 
gelungen des Datenschutzrechts vereinbar ist. Pro- 
dukte, deren Vereinbarkeit mit den Regeln des Da- 
tenschutzes und der Datensicherheit in einem förmli- 
chen Verfahren geprüft und positiv bewertet worden 
sind, sollen vorrangig berücksichtigt werden. 

§17 

Datenschutz-Audit 

Zur Verbesserung des Datenschutzes und der Da- 
tensicherheit können Anbieter von Datenverarbei- 
tungssystemen und -Programmen ihr Datenschutz- 
konzept sowie ihre technischen Einrichtungen durch 
unabhängige und zugelassene Gutachter prüfen und 
bewerten lassen sowie das Ergebnis der Prüfung ver- 
öffentlichen. Die näheren Anforderungen an die Prü- 
fung und Bewertung, das Verfahren sowie die Aus- 
wahl und Zulassung der Gutachter werden durch be- 
sonderes Gesetz geregelt. 

§18 

Behördlicher bzw. betrieblicher 
Datenschutzbeauftragter 

(1) Stellen, die personenbezogene Daten automati- 
siert verarbeiten und hierbei in der Regel mindestens 
fünf Bedienstete ständig beschäftigen, haben unter 
Beteiligung der Vertretung der Beschäftigten in ent- 
sprechender Anwendung von § 99 des Betriebsver- 
fassungsgesetzes einen Datenschutzbeauftragten zu 
bestellen. Dieser muß die erforderliche persönliche 
und fachliche Qualifikation und Eignung besitzen. 
Werden in der Regel mindestens 500 Bedienstete bei 
der automatisierten Datenverarbeitung eingesetzt, so 
ist ein Bediensteter für die Wahrnehmung der Aufga- 
ben des Datenschutzbeauftragten vollständig freizu- 
stellen. 

(2) Der Datenschutzbeauftragte unterstützt die 
Stelle bei der Sicherstellung des Datenschutzes. Er 
hat insbesondere 

1. die Einhaltung sowie die Umsetzung der daten- 
schutzrechtlichen Vorschriften zu überprüfen, 

2. die bei der Verarbeitung personenbezogener Da- 
ten tätigen Personen über die jeweils spezifischen 
Erfordernisse für den Datenschutz zu unterrichten, 


3. bei der Auswahl der bei der Verarbeitung perso- 
nenbezogener Daten tätigen Personen und bei der 
Auswahl der Verarbeitungssysteme und -Pro- 
gramme beratend mitzuwirken, 

4. bei der Einführung oder der wesentlichen Ände- 
rung von automatisierten Verfahren, bei denen 
keine Technikfolgenabschätzung nach § 20 er- 
folgt, eine entsprechende Vorabkontrolle durchzu- 
führen. 

(3) Der Datenschutzbeauftragte ist dem Leiter oder 
dem Leitungsorgan der verarbeitenden Stelle unmit- 
telbar zu unterstellen. Er ist bei der Anwendung der 
Fachkunde auf dem Gebiet des Datenschutzes wei- 
sungsfrei. Er darf wegen der Erfüllung seiner Aufga- 
ben nicht benachteiligt werden. Seine Bestellung 
darf nur widerrufen werden auf Verlangen der zu- 
ständigen Datenschutzkontrollinstanz oder, nach Be- 
teiligung der Vertretung der Beschäftigten in ent- 
sprechender Anwendung von § 99 des Betriebsver- 
fassungsgesetzes, wenn dies wegen mangelhafter 
Ausübung der Aufgaben oder aus organisatorischen 
Gründe der verarbeitenden Stelle zwingend erforder- 
lich ist. Er kann sich jederzeit an die zuständige Da- 
tenschutzkontrollinstanz wenden. 

(4) Die verarbeitende Stelle hat den Datenschutz- 
beauftragten bei der Ausführung seiner Aufgaben zu 
unterstützen. Er ist über Vorhaben der automatisier- 
ten Verarbeitung personenbezogener Daten rechtzei- 
tig zu unterrichten. Er ist zur Wahrnehmung seiner 
Aufgaben freizustellen und angemessen mit perso- 
nellen und sächlichen Mitteln auszustatten. Bedien- 
stete sowie die Vertretung der Beschäftigten können 
sich jederzeit an den Datenschutzbeauftragten wen- 
den. 

(5) Dem Datenschutzbeauftragten ist von der verar- 
beitenden Stelle eine Übersicht zur Verfügung zu 
stellen über die in § 19 Abs. 2 genannten Angaben. 
Er hat diese Angaben jeder beantragenden Person in 
geeigneter Weise verfügbar zu machen. 

(6) Der Datenschutzbeauftragte ist zur Verschwie- 
genheit über die Identität der betroffenen Person so- 
wie über Umstände, die Rückschlüsse auf diese zu- 
lassen, verpflichtet, soweit er von der betroffenen 
Person davon nicht befreit wurde. 

§ 19 

Meldepflicht 

(1) Stellen, 

1. deren Verarbeitung personenbezogener Daten 
wegen der Art der Daten, der Verarbeitung und 
der voraussichtlichen Empfänger eine besondere 
Gefahr für den Schutz der in § 1 Abs. 1 genannten 
Grundrechte besteht und die keinen Datenschutz- 
beauftragten bestellt haben, 

2. die personenbezogene Daten zum Zweck der 
Übermittlung oder im Auftrag als Dienstleistungs- 
unternehmen verarbeiten, es sei denn, dies stellt 
wegen der Geringfügigkeit der Verarbeitung 
keine wesentliche Gefahr für den Schutz der in § 1 
Abs. 1 genannten Grundrechte dar, 
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haben vor Aufnahme, Veränderung und Beendigung 
ihrer Tätigkeit dies der zuständigen Datenschutzkon- 
trollinstanz mitzuteilen. 

(2) Bei der Anmeldung sind folgende Angaben zu 
machen: 

1. Name oder Firma und Anschrift der speichernden 
Stelle, 

2. Inhaber, Vorstände, Geschäftsführer oder sonstige 
rechtlich berufene Leiter und die mit der Leitung 
beauftragten Personen, 

3. die Zwecke der Datenverarbeitung, 

4. eine Beschreibung der Kategorien der betroffenen 
Personen und der verarbeiteten Daten, 

5. Empfänger oder Kategorien von Empfängern, de- 
nen die Daten mitgeteüt werden können, 

6. soweit vorhanden, Name des Datenschutzbeauf- 
tragten, 

7. Regelfristen für die Datenlöschung, 

8. geplante Datenübermittlungen in Drittländer, 

9. eine allgemeine Beschreibung der Art der einge- 
setzten Datenverarbeitungsanlagen und der Da- 
tensicherungsmaßnahmen nach § 14. 

(3) Die Datenschutzkontrollinstanzen führen ein 
Register mit den in Absatz 2 aufgeführten Angaben. 
Das Register kann von jeder Person eingesehen wer- 
den. 

(4) Das Nähere, insbesondere unter welchen Um- 
ständen keine Meldepflicht besteht, wird durch 
Rechtsverordnung festgelegt. 

§20 

Vorabkontrolle durch Technikfolgenabschätzung 

(1) Vor der Entscheidung über den Einsatz oder die 
wesentliche Änderung von automatisierten Verfah- 
ren, von denen spezifische Risiken für die in § 1 
Abs. 1 genannten Grundrechte oder für die Wir- 
kungsmöglichkeiten demokratischer Organe ausge- 
hen können, ist eine Technikfolgenabschätzung 
durchzuführen. Die zuständige Datenschutzkontroll- 
instanz ist bei der Abschätzung zu beteiligen. Dies 
gilt auch für gemeinnützige Verbände, deren Zielset- 
zung in der Verwirklichung der in § 1 Abs. 1 genann- 
ten Grundrechte hegt und die auf Antrag vom zu- 
ständigen Bundesministerium hierzu zugelassen 
werden. Das Ergebnis der Technikfolgenabschät- 
zung und seine Begründung werden von der verar- 
beitenden Stelle veröffentücht. Die Verfahren dürfen 
nur eingesetzt oder wesentlich geändert werden, so- 
weit durch technische oder organisatorische Maß- 
nahmen sichergestellt wird, daß die spezifischen Risi- 
ken wirksam beherrscht werden können. 

(2) Das Nähere wird durch Rechtsverordnung be- 
stimmt. 


DRITTER UNTERABSCHNITT 

Betroffenenrechte 

§21 

Unabdingbarkeit 

Die Rechte der betroffenen Person zu Auskunft, 
Anrufung der zuständigen Datenschutzkontrollin- 
stanz und Datenkorrektur können nicht durch 
Rechtsgeschäft ausgeschlossen oder beschränkt wer- 
den. 

§22 

Sicherung der Betroffenenrechte 

(1) Sind die Daten der betroffenen Person so ge- 
speichert, daß mehrere Stellen verarbeitungsberech- 
tigt sind, so kann sie sich an jede dieser Stellen zur 
Wahrnehmung ihrer Rechte wenden. Diese ist ver- 
pflichtet, das Vorbringen der betroffenen Person an 
die verarbeitende Stelle weiterzuleiten. Die betrof- 
fene Person ist über die Weiterleitung und die spei- 
chernde Stelle zu unterrichten. 

(2) Erstrebt die betroffene Person eine Überprü- 
fung der Datenverarbeitung auf Grund einer eigenen 
Initiative (Anrufung einer Datenschutzkontrollin- 
stanz, Ersuchen auf Auskunft, Berichtigung, Sper- 
rung, Schadensersatz), so ist eine Datenlöschung un- 
zulässig. 

§23 

Auskunft an die betroffene Person 

(1) Der betroffenen Person ist auf Antrag Auskunft 
zu erteilen über 

1. die zu ihrer Person verarbeiteten Daten, auch so- 
weit sie sich auf Herkunft oder Empfänger dieser 
Daten beziehen, 

2. den Zweck der Verarbeitung, 

3. die organisatorische Struktur und den logischen 
Aufbau der automatisierten Verarbeitung in bezug 
auf ihre Daten. 

(2) Begehrt der Antrag Auskunft über nicht auto- 
matisiert gespeicherte Daten, so soll dieser Angaben 
enthalten, die das Auffinden der Daten ermöglichen. 
Die Auskunft wird schriftlich erteüt, soweit nicht we- 
gen der besonderen Umstände eine andere Form an- 
gemessen ist. 

(3) Die Auskunftserteüung unterbleibt, soweit 

1. die Auskunft die öffentliche Sicherheit gefährden 
oder sonst dem Wohle des Bundes oder eines Lan- 
des Nachteile bereiten würde, 

2. die Daten oder die Tatsache ihrer Speicherung 
nach einer Rechtsvorschrift oder wegen bestimm- 
ter überwiegender Interessen von Dritten geheim- 
gehalten werden müssen. 

(4) Die vollständige oder teüweise Ablehnung der 
Auskunftserteüung ist zu begründen. Die betroffene 
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Person ist darauf hinzuweisen, daß sie sich an die zu- 
ständige Datenschutzkontrollinstanz wenden kann. 

(5) Die Auskunft ist unentgeltlich. 

(6) Das Verlangen, eine schriftliche Auskunft vor 
Abschluß eines Vertrages, der für die betroffene Per- 
son von besonderer Bedeutung ist, vorzulegen, ist 
unzulässig. 

§24 

Benachrichtigung 

(1) Werden Daten nicht bei der betroffenen Person 
erhoben, so ist sie über die gepeicherten Daten, die 
speichernde Stelle, die Zweckbestimmung der Verar- 
beitung, die Empfänger oder Kategorien von Emp- 
fänger sowie das Bestehen von Auskunfts- und Da- 
tenkorrekturrechten zu unterrichten. Ist eine Über- 
mittlung vorgesehen, so hat die Unterrichtung späte- 
stens bei der ersten Übermittlung zu erfolgen. 

(2) Eine Pflicht zur Benachrichtigung besteht nicht, 
wenn 

1. die betroffene Person auf andere Weise Kenntnis 
von der Speicherung oder der Übermittlung er- 
langt hat, 

2. die Daten nur wegen gesetzlicher, satzungsmäßi- 
ger oder vertraglicher Aufbewahrungsvorschriften 
oder zu Zwecken der Datenschutzkontrolle, der 
Datensicherung oder zur Sicherstellung eines ord- 
nungsgemäßen Betriebes (§10 Abs. 1) gespeichert 
werden, 

3. die Speicherung oder Übermittlung durch Gesetz 
zwingend vorgesehen ist, 

4. die Speicherung oder Übermittlung Zwecken der 
Strafverfolgung, der Verfolgung von Ordnungs- 
widrigkeiten oder der Gefahrenabwehr dient, 

5. die Daten wegen eines überwiegenden rechtli- 
chen Interesses eines Dritten oder wegen eines 
öffentlichen Interesses geheimgehalten werden 
müssen, 

6. die Daten von der verarbeitenden Stelle nach § 45 
automatisiert veröffentlicht werden dürfen oder 

7. die Speicherung nach § 46 Abs. 4 der Markt- und 
Meinungsforschung dient. 

(3) Hat die verarbeitende Stelle Grund zur Annah- 
me oder Kenntnis davon, daß unrichtige oder unzu- 
lässig verarbeitete Daten bereits derart genutzt wur- 
den, daß der betroffenen Person daraus ein Nachteil 
entstanden ist oder zu entstehen droht, so hat sie 
diese unverzüglich zu benachrichtigen. 

§25 

Datenkorrektur (Berichtigung, Löschung 
und Sperrung) 

(1) Personenbezogene Daten sind zu berichtigen, 
wenn sie unrichtig sind. 

(2) Personenbezogene Daten sind zu löschen, wenn 

1 . ihre Speicherung unzulässig ist, 


2. ihre Kenntnis für die speichernde Stelle zur Erfül- 
lung des Zweckes der Speicherung nicht mehr er- 
forderlich ist oder 

3. sie geschäftsmäßig zum Zweck der Übermittlung 
verarbeitet werden und eine Prüfung am Ende des 
dritten Kalenderjahres nach der erstmaligen Spei- 
cherung ergibt, daß eine längerwährende Spei- 
cherung nicht erforderlich ist. 

(3) An die Stelle einer Löschung tritt eine Sper- 
rung, soweit 

1. einer Löschung gesetzliche, satzungsmäßige oder 
vertragliche Aufbewahrungsfristen entgegenste- 
hen, 

2. Grund zu der Annahme besteht, daß durch eine 
Löschung schutzwürdige Interessen der betroffe- 
nen Person beeinträchtigt würden oder 

3. bei einer nicht öffentlichen Stelle die Richtigkeit 
der personenbezogenen Daten bestritten wird und 
sich weder die Richtigkeit noch die Unrichtigkeit 
feststellen läßt. 

(4) Sind zu korrigierende personenbezogene Daten 
nicht automatisiert gespeichert und ist eine Daten- 
korrektur aus tatsächlichen oder rechtlichen Grün- 
den nicht möglich, so ist dies in den Unterlagen, z.B, 
durch Hinzufügen einer Gegendarstellung, zu ver- 
merken. Erfolgt eine weitere Verarbeitung, so sind 
diese Vermerke zu berücksichtigen. 

(5) Von der Berichtigung, der Sperrung bestrittener 
Daten sowie der Löschung oder Sperrung wegen un- 
zulässiger Speicherung sind die Stehen zu verständi- 
gen, denen im Rahmen einer Datenübermittlung 
diese Daten zur Speicherung weitergegeben werden, 
es sei denn, dies ist zur Wahrung der schutzwürdigen 
Interessen der betroffenen Person nicht erforderlich. 

(6) Gesperrte Daten dürfen ohne Einwilligung der 
betroffenen Person nur verarbeitet werden, wenn 

1. dies zur Behebung einer Beweisnot oder aus son- 
stigen im überwiegenden Interesse der speichern- 
den Stehe oder eines Dritten hegenden Gründen 
unerläßlich ist, 

2. für wissenschaftliche Zwecke, wenn diese gegen- 
über den Interessen der betroffenen Person erheb- 
lich überwiegen 

und die Daten hierfür verarbeitet werden dürften, 
wenn sie nicht gesperrt wären. 

§26 

Recht auf Datensicherung 

Die betroffene Person hat das Recht, die Maßnah- 
men zur Sicherung von Vertraulichkeit und Unver- 
letzlichkeit zu ergreifen, die sie für erforderlich hält. 

§27 

Anrufung der Datenschutzkontrollinstanz 

(1) Jede Person kann sich direkt an eine Daten- 
schutzkontrohinstanz wenden, wenn sie der Ansicht 
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ist, bei der Verarbeitung ihrer personenbezogenen 
Daten in ihren Rechten verletzt worden zu sein. Dies 
gilt auch für Beschäftigte der verarbeitenden Stelle. 
Keine Person darf deswegen benachteiligt werden. 

(2) Ist die angerufene Stelle nicht zuständig, so gibt 
sie die Eingabe an die zuständige Stelle ab. Die Per- 
son wird informiert, wie mit ihrer Eingabe verfahren 
wurde. 

§28 

Widerspruchsrecht 

Die betroffene Person hat das Recht, aus besonde- 
ren persönlichen Gründen gegenüber der verarbei- 
tenden Stelle der Verarbeitung ihrer Daten allgemein 
oder bestimmter Formen der Verarbeitung zu wider- 
sprechen. Sie ist über das Ergebnis der Prüfung ihres 
Widerspruchs zu unterrichten. Ergibt die Prüfung, 
daß einer Datenverarbeitung schutzwürdige Interes- 
sen der betroffenen Person entgegenstehen, so ist die 
Verarbeitung unzulässig. 

§29 

Schadensersatz 

(1) Entsteht der betroffenen Person durch eine da- 
tenschutzrechtlich unzulässige oder unrichtige Ver- 
arbeitung ihrer personenbezogenen Daten ein Scha- 
den, so ist die verarbeitende Stelle oder deren Träger 
imabhängig von einem Verschulden zum Ersatz des 
daraus entstandenen Schadens verpflichtet. Bei Ver- 
letzung des Persönlichkeitsrechts ist ein Schaden, 
der nicht Vermögensschaden ist, angemessen in 
Geld zu ersetzen. 

(2) Ist streitig, ob ein Schaden ursächliche Folge ei- 
ner unzulässigen oder unrichtigen Verarbeitung ist, 
so trifft die Beweislast die speichernde Stelle. Sind 
mehrere Stellen verarbeitende Stellen und ist die ge- 
schädigte Person nicht in der Lage, die speichernde 
Stelle festzustellen, so haftet jede dieser Stellen. 
Mehrere Ersatzpflichtige haften als Gesamtschuld- 
ner. Auf das Mitverschulden der betroffenen Person 
und die Verjährung sind die §§ 254 und 852 des Bür- 
gerlichen Gesetzbuchs entsprechend anzuwenden. 
Solange eine Überprüfung durch die zuständige Da- 
tenschutzkontrollinstanz erfolgt, ist die Verjährungs- 
frist gehemmt. Weitergehende Schadensersatzan- 
sprüche bleiben unberührt. 

(3) Der Rechtsweg vor den ordentlichen Gerichten 
steht offen. 


VIERTER UNTERABSCHNITT 

Besondere Formen der Datenverarbeitung 

§30 

Einsatz automatisierter Abruf- und 
Verbundverfahren 

(1) Der Einsatz eines 

1. automatisierten Verfahrens, das die Übermittlung 
personenbezogener Daten, die in dieser Form 


nicht aus allgemein zugänglichen Quellen ent- 
nommen werden können, durch Abruf ermöglicht, 

2. Verbundverfahrens, bei dem verschiedene Stellen 
personenbezogene Daten in einem gemeinsamen 
Datenbestand verarbeiten, 

ist zulässig, soweit dieses Verfahren unter Berück- 
sichtigung der schutzwürdigen Interessen der betrof- 
fenen Person und der Aufgaben oder Geschäfts- 
zwecke der beteiligten Stellen angemessen ist. Die 
Beteiligung von öffentlichen und nicht öffentlichen 
Stellen an einem Verfahren ist unzulässig. 

(2) Die beteiligten Stellen haben zu gewährleisten, 
daß die Zulässigkeit des Verfahrens nach Absatz 1 
kontrolliert werden kann. Sie haben schriftlich fest- 
zulegen: 

1. Anlaß und Zweck des Verfahrens, 

2. eine Stelle, gegenüber der Betroffenenrechte ins- 
gesamt geltend gemacht werden können, 

3. verarbeitende Stellen und Empfänger, 

4. Art der zu übermittelnden Daten und 

5. nach § 14 erforderliche technische und organisato- 
rische Maßnahmen. 

(3) Über den Einsatz von Verfahren nach Absatz 1 
sind die für die beteiligten Stellen zuständigen Da- 
tenschutzkontrollinstanzen unter Mitteilung der 
Festlegungen nach Absatz 2 zu unterrichten. 

(4) Die Verantwortung für die Zulässigkeit des ein- 
zelnen Abrufs trägt der Empfänger. Die speichernde 
Stelle protokolliert die einzelnen Abrufe. Sie prüft 
die Zulässigkeit der Abrufe, wenn dazu Anlaß be- 
steht. Die speichernde Stelle hat zu gewährleisten, 
daß die Zulässigkeit der Übermittlung zumindest 
durch geeignete Stichprobenverfahren festgestellt 
und überprüft werden kann und überprüft wird. 

§31 

Datenverarbeitung im Auftrag, externe Wartung 

(1) Werden personenbezogene Daten im Auftrag 
durch andere Stellen verarbeitet, ist der Auftragge- 
ber für die Einhaltung datenschutzrechtlicher Vor- 
schriften verantwortlich. Betroffenenrechte sind ihm 
gegenüber geltend zu machen. 

(2) Der Auftragnehmer ist unter besonderer Be- 
rücksichtigung der Eignung der von ihm getroffenen 
technischen und organisatorischen Maßnahmen 
sorgfältig auszuwählen. Der Auftrag ist schriftlich zu 
erteilen, wobei die Datenverarbeitung, die techni- 
schen und organisatorischen Maßnahmen und etwai- 
ge Unterauftragsverhältnisse festzulegen sind. 

(3) Der Auftragnehmer darf die Daten nur im Rah- 
men der Weisungen des Auftraggebers verarbeiten. 
Ergeben sich für ihn Hinweise, daß bei der Verarbei- 
tung gegen datenschutzrechtliche Vorschriften ver- 
stoßen wird, hat er den Auftraggeber unverzüglich 
darauf hinzuweisen. 
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(4) Für den Auftragnehmer gelten nur die §§ 11, 
14, 15, 18, 19, 54 und 55 sowie die Vorschriften über 
die Datenschutzkontrolle. 

(5) Personen und Stellen, die mit der Wartung und 
Systembetreuung automatisierter Verfahren oder Da- 
tenverarbeitungssysteme beauftragt sind, unterhe- 
gen den Absätzen 1 bis 4. Sie müssen die notwendige 
fachliche Qualifikation und Zuverlässigkeit auf wei- 
sen. Die Dokumentation der Maßnahmen ist zum 
Zweck der Datenschutzkontrolle drei Jahre aufzube- 
wahren. Soweit erforderlich, ist eine Kenntnisnahme 
von Berufs- und besonderen Amtsgeheimnissen so- 
wie von sensiblen Daten zulässig. 

§32 

Einsatz mobiler personenbezogener Speicher- 
und Verarbeitungsmedien 

(1) Der Einsatz mobiler personenbezogener Spei- 
cher- und Verarbeitungsmedien, die von den betrof- 
fenen Personen mit sich geführt werden und die mit 
elektronischen Lese- und Schreibgeräten direkt kom- 
munizieren, ist nur zulässig, soweit ein Gesetz dies 
vorsieht oder die betroffene Person eingewilligt hat. 
Verarbeitende Stelle ist diejenige, die Kontrolle über 
das Verfahren oder über den jeweiligen Verfahrens- 
teil hat. 

(2) Jede Kommunikation zwischen mobilen Spei- 
cher- und Verarbeitungsmedien und elektronischen 
Lese- und Schreibgeräten muß für die betroffene Per- 
son erkennbar sein. Erfolgt bei dieser Kommunika- 
tion eine Datenspeicherung, so ist sicherzustellen, 
daß die betroffene Person hierüber einen schriftli- 
chen Nachweis erhalten kann. 

(3) Der Anspruch auf Auskunft über alle auf einem 
Speicher- und Verarbeitungsmedium zu ihrer Person 
gespeicherten Daten ist durch angemessene Bereit- 
stellung von Endgeräten durch die speichernden 
Stellen sicherzustellen. Soweit nicht ein Gesetz ande- 
res vorsieht, darf niemand gezwungen werden, mo- 
bile Speicher- und Verarbeitungsmedien oder Aus- 
drucke ihres Inhalts vorzulegen. 

(4) Werden mobile Speicher- und Verarbeitungs- 
medien mit Einwilligung der betroffenen Person ein- 
gesetzt, so ist diese vor der Erteilung der Einwilli- 
gung zu unterrichten über 

1. die zur Speicherung und zum Abruf berechtigten 

Stellen, 

2. die Organisation der Zugriffs- und Speicherungs- 
beschränkung sowie 

3. die Mögüchkeit des vollständigen oder teilweisen 

Widerrufs der Einwilligung. 

Die Ausgabe und Verwendung von mobilen Spei- 
cher- und Verarbeitungsmedien darf für die betrof- 
fene Person nicht mit Vergünstigungen verbunden 
sein, die über das durch die Technik bedingte Maß 
hinausgehen. 


§33 

Videoüberwachung 

(1) Die Beobachtung öff entlieh zugänglicher 
Räume mit optisch-elektronischen Einrichtungen (Vi- 
deoüberwachung) ist zulässig, soweit dies zur Aufga- 
benerfüllung oder zur Wahrnehmung des Haus rechts 
erforderlich ist und keine Anhaltspunkte bestehen, 
daß schutzwürdige Interessen der betroffenen Perso- 
nen überwiegen. Der Umstand der Beobachtung ist 
durch geeignete Maßnahmen erkennbar zu machen. 

(2) Die Speicherung von nach Absatz 1 Satz 1 erho- 
benen Daten ist zulässig, wenn dies zum Erreichen 
des verfolgten Zweckes dringend erforderlich ist. Die 
Daten sind unverzüglich zu löschen, wenn sie hierzu 
nicht mehr erforderlich sind. 

(3) Werden durch Videoüberwachung erhobene 
Daten einer bestimmten Person zugeordnet und ver- 
arbeitet, so ist diese zu benachrichtigen, es sei denn, 
dem stehen überwiegende öffentliche Interessen der 
Strafverfolgung oder der Gefahrenabwehr entgegen. 


ZWEITER ABSCHNITT 

Datenverarbeitung der öffentlichen Stellen 

§34 

Anwendungsbereich 

(1) Die Vorschriften dieses Abschnittes gelten für 
öffentliche Stellen des Bundes, soweit sie nicht als öf- 
fentlich-rechtliche Unternehmen am Wettbewerb 
teilnehmen. 

(2) Für Landesbeauftragte für den Datenschutz gilt 
§ 38 Abs. 6 entsprechend. 


ERSTER UNTERABSCHNITT 

Voraussetzungen für die Zulässigkeit 

§35 

Zulässigkeit der Verarbeitung 

Die Verarbeitung personenbezogener Daten ist zur 

Erfüllung der Aufgaben der verarbeitenden Stelle 

zulässig, wenn 

1. die betroffene Person eingewilligt hat, 

2. eine Rechtsvorschrift dies vorsieht oder zwingend 
voraussetzt, 

3. dies zur Abwehr von Gefahren für Leib, Leben 
oder die persönliche Freiheit erforderlich ist, 

4. Angaben der betroffenen Person überprüft wer- 
den müssen, weil Anhaltspunkte für deren Unrich- 
tigkeit bestehen, 

5. offensichtlich ist, daß die Verarbeitung im Inter- 
esse der betroffenen Person hegt und sie einwilli- 
gen würde, 
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6. die Daten aus allgemein zugänglichen Quellen 
entnommen werden können, 

7. sich bei Gelegenheit der rechtmäßigen Aufgaben- 
erfüllung Anhaltspunkte für Straftaten oder Ord- 
nungswidrigkeiten ergeben und die Unterrichtung 
der für die Verfolgung oder VoDstreckung zustän- 
digen Behörden geboten ist. 

§36 

Übermittlung innerhalb des öffentlichen Bereichs 

(1) Die Übermittlung personenbezogener Daten an 
andere öffentliche Stellen ist nur zulässig, wenn die 
Übermittlung zur Erfüllung der Aufgaben der über- 
mittelnden Stelle oder des Empfängers erforderlich 
ist und die Daten nach § 35 verarbeitet werden dür- 
fen. 

(2) Sind mit personenbezogenen Daten, die nach 
Absatz 1 übermittelt werden dürfen, weitere perso- 
nenbezogene Daten in Akten so verbunden, daß eine 
Trennung nicht oder nur mit unvertretbarem Auf- 
wand möglich ist, so ist deren Übermittlung auch zu- 
lässig, soweit nicht berechtigte Interessen der betrof- 
fenen Person an deren Geheimhaltung offensichtlich 
überwiegen; eine Nutzung dieser Daten ist unzuläs- 
sig; der Empfänger ist hierauf hinzuweisen. 

(3) Die Absätze 1 und 2 gelten entsprechend, wenn 
personenbezogene Daten innerhalb einer öffentli- 
chen Stelle weitergegeben werden. 

§37 

Übermittlung an Empfänger außerhalb des 
öffentlichen Bereichs 

(1) Die Übermittlung personenbezogener Daten an 
Stellen außerhalb des öffentlichen Bereichs ist zuläs- 
sig, wenn 

1. sie zur Erfüllung der in der Zuständigkeit der 
übermittelnden Stelle liegenden Aufgaben erfor- 
derlich ist und die Daten nach § 35 verarbeitet 
werden dürfen, 

2. der Empfänger ein rechtliches Interesse an der 
Kenntnis der zu übermittelnden Daten glaubhaft 
macht und kein Grund zu der Annahme besteht, 
daß das schutzwürdige Interesse der betroffenen 
Person an der Geheimhaltung überwiegt oder 

3. sie im öffentlichen Interesse liegt oder hierfür ein 
berechtigtes Interesse geltend gemacht wird und 
die betroffene Person, nachdem sie über die beab- 
sichtigte Übermittlung in geeigneter Weise und 
rechtzeitig unterrichtet worden ist, nicht wider- 
sprochen hat. 

(2) Der Empfänger darf die übermittelten Daten 
nur für den Zweck nutzen, zu dessen Erfüllung sie 
ihm übermittelt werden. Die übermittelnde Stelle hat 
ihn darauf hinzuweisen. Eine Verarbeitung für ande- 
re Zwecke ist zulässig, wenn eine Übermittlung nach 
Absatz 1 zulässig wäre und die übermittelnde Stelle 
zugestimmt hat. 


ZWEITER UNTERABSCHNITT 

Bundesbeauftragter für den Datenschutz 

§38 

Rechtsstellung 

(1) Der Bundesbeauftragte für den Datenschutz 
wird als oberste Bundesbehörde eingerichtet. Er ist 
in der Ausübung des Amtes unabhängig und nur 
dem Gesetz unterworfen. Er untersteht der Dienst- 
und Rechtsaufsicht der Bundesregierung. 

(2) Der Deutsche Bundestag wählt auf Vorschlag der 
Bundesregierung den Bundesbeauftragten. Der Ge- 
wählte ist vom Bundespräsidenten zu ernennen. Ist der 
Bundesbeauftragte vorübergehend an der Ausübung 
seiner Amtes verhindert, kann die Bundesregierung ei- 
nen Vertreter mit der Wahrnehmung der Geschäfte be- 
auftragten, nachdem dem Bundesbeauftragten Gele- 
genheit zur Stellungnahme gegeben wurde. 

(3) Die Amtszeit des Bundesbeauftragten beträgt 
fünf Jahre. Einmalige Wiederwahl ist zulässig. 

(4) Dem Bundesbeauftragten ist die für die Erfül- 
lung seiner Aufgaben notwendige Personal- und 
Sachausstattung zur Verfügung zu stellen. 

(5) Der Bundesbeauftragte darf neben seinem Amt 
kein besoldetes Amt, kein Gewerbe und keinen Be- 
ruf und keine vergleichbare Tätigkeit ausüben. Er 
darf nicht gegen Entgelt außergerichtliche Gutach- 
ten abgeben. 

(6) Der Bundesbeauftragte ist berechtigt, über Per- 
sonen und Tatsachen, die ihm in seiner amtlichen Ei- 
genschaft anvertraut worden sind, das Zeugnis zu 
verweigern. Dies gilt auch für die Mitarbeitenden 
des Bundesbeauftragten mit der Maßgabe, daß die- 
ser über die Ausübung dieses Rechts entscheidet. So- 
weit das Zeugnisverweigerungsrecht des Bundesbe- 
auftragten reicht, darf das Vorlegen oder die Auslie- 
ferung von Akten oder anderen Unterlagen von ihm 
nicht gefordert werden. 

(7) Der Bundesbeauftragte ist, auch nach Beendi- 
gung seines Amtsverhältnisses, verpflichtet, über die 
ihm amtlich bekannt gewordenen Angelegenheiten 
Verschwiegenheit zu bewahren. Dies gilt nicht für 
Mitteilungen im dienstlichen Verkehr oder über Tat- 
sachen, die offenkundig sind oder ihrer Bedeutung 
nach keiner Geheimhaltung bedürfen. Er darf, auch 
wenn er nicht mehr im Amt ist, ohne Genehmigung 
der Bundesre0erung weder vor Gericht noch außer- 
gerichtlich aussagen oder Erklärungen abgeben. 
Unberührt bleibt die gesetzlich begründete Pflicht, 
Straftaten anzuzeigen. Die Genehmigung soll nur 
versagt werden, wenn die Aussage dem Wohle des 
Bundes oder eines Landes Nachteile bereiten oder 
die Erfüllung öffentlicher Aufgaben ernstlich gefähr- 
den oder erheblich erschweren würde. 

§39 

Kontrolle durch den Bundesbeauftragten 

(1) Der Bundesbeauftragte kontrolliert bei den öf- 
fentlichen Stellen des Bundes die Einhaltung der da- 
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tenschutzrechtlichen Vorschriften. Die Bundesge- 
richte unterliegen der Kontrolle des Bundesbeauf- 
tragten nur, soweit sie in Verwaltungs angele genh ei- 
ten tätig werden. 

(2) Die öffentlichen Stellen des Bundes sind ver- 
pflichtet, den Bundes beauftragten und seine Beauf- 
tragten bei der Erfüllung ihrer Aufgaben zu unter- 
stützen. Ihnen ist dabei insbesondere 

1. Auskunft zu ihren Fragen sowie Einsicht in alle 
Unterlagen, Daten und Datenverarbeitungspro- 
gramme zu gewähren, 

2. jederzeit Zutritt in alle Diensträume und Zugriff zu 
elektronischen Diensten zu gewähren, 

3. Kopien von Unterlagen, von automatisiert gespei- 
cherten Daten und Verarbeitungsprogrammen zur 
Verfügung zu stellen. 

(3) Der Bundesbeauftragte teilt das Ergebnis seiner 
Kontrolle der öffentlichen Stelle mit. Damit kann er 
Vorschläge zur Beiseitigung festgestellter Mängel 
und zur sonstigen Verbesserung des Datenschutzes 
verbinden. 

§40 

Beanstandungen durch den Bundesbeauftragten 

(1) Stellt der Bundesbeauftragte Verstöße gegen 
datenschutzrechtliche Vorschriften oder sonstige 
Mängel bei der Verarbeitung personenbezogener 
Daten fest, so beanstandet er dies 

1 . bei der Bundesverwaltung gegenüber der zustän- 
digen obersten Bundesbehörde, 

2. bei den bundesunmittelbaren Körperschaften, An- 
stalten und Stiftungen des öffentlichen Rechts, bei 
deren Vereinigungen sowie bei sonstigen öffentli- 
chen Stellen des Bundes gegenüber dem Vor- 
stand, dem sonst vertretungsberechtigten Organ 
oder dem Leiter 

und fordert zur Stellungnahme innerhalb einer von 
ihm zu bestimmenden Frist auf. Besteht eine Auf- 
sichtsbehörde, so wird diese über die Beanstandung 
unterrichtet. 

(2) Der Bundesbeauftragte kann von einer Bean- 
standung absehen oder auf eine Stellungnahme der 
betroffenen Stelle verzichten, insbesondere wenn es 
sich um imerhebliche oder inzwischen beseitigte 
Mängel handelt. 

(3) Die Stellungnahme soll auch eine Darstellung 
der Maßnahmen enthalten, die auf Grund der Bean- 
standung getroffen worden sind. 

§41 

Weitere Aufgaben und Befugnisse des 
Bundesbeauftragten 

(1) Der Bundesbeauftragte erstattet dem Deut- 
schen Bundestag alle zwei Jahre einen Tätigkeitsbe- 
richt. Der Tätigkeitsbericht soll auch eine Darstellung 
der wesentlichen Entwicklungen des Datenschutzes 
im nicht öffentlichen Bereich enthalten. 


(2) Auf Anforderung des Deutschen Bundestages 
oder der Bundesregierung hat der Bundesbeauf- 
tragte Gutachten zu erstellen und Berichte zu erstat- 
ten. Er geht Hinweisen auf Angelegenheiten und 
Vorgänge des Datenschutzes bei den öffentlichen 
Stellen des Bundes nach. Er kann sich jederzeit an 
den Deutschen Bundestag wenden. 

(3) Der Bundesbeauftragte berät Stellen und Or- 
gane des Bundes in allen Angelegenheiten des Da- 
tenschutzes. Er ist rechtzeitig über Planungen zum 
Aufbau bedeutender Da tenverarbeitungs Systeme 
und über geplante Rechts- und Verwaltungsvor- 
schriften, die das Recht auf informationelle Selbstbe- 
stimmung betreffen, zu unterrichten. 

(4) Die Übermittlung personenbezogener Daten 
durch den Bundes beauftragten an Datenschutzkon- 
trollinstanzen sowie an entsprechende Einrichtungen 
der Länder und der Mitgliedstaaten der Europäi- 
schen Union ist zulässig, soweit dies zur Aufgabener- 
füllung des Bundesbeauftragten oder des Empfän- 
gers erforderlich ist. § 10 Abs. 1 güt entsprechend; 
der Empfänger ist hierauf hinzuweisen. 

(5) Der Bundesbeauftragte nimmt weitere Aufga- 
ben wahr, soweit diese ihm durch Gesetz übertragen 
werden. 


DRITTER ABSCHNITT 

Datenverarbeitung nicht öffentlicher Stellen und 
öffentlich-rechtlicher Wettbewerbsuntemehmen 

§42 

Anwendungsbereich 

Die Vorschriften dieses Abschnittes finden Anwen- 
dung, soweit personenbezogene Daten verarbeitet 
werden durch 

1. nicht öffentliche Stellen gemäß § 1 Abs. 2 Nr. 2, 

2. öffentliche Stellen des Bundes, soweit sie als öf- 
fentlich-rechtliche Unternehmen am Wettbewerb 
teilnehmen. 

In den Fällen der Nummer 2 gelten anstelle des § 48 
die §§ 39 bis 41. 

§43 

Datenverarbeitung für eigene Zwecke 

(1) Die Verarbeitung personenbezogener Daten als 
Mittel für die Erfüllung eigener Geschäftszwecke ist 
zulässig 

1. im Rahmen der Zweckbestimmung eines Vertrags- 
verhältnisses oder vertragsähnlichen Vertrauens- 
verhältnisses mit der betroffenen Person, 

2. soweit es zur Wahrung berechtigter Interessen der 
speichernden Stelle, berechtigter Interessen eines 
Dritten oder öffentlicher Interessen erforderlich ist 
und kein Grund zur Annahme besteht, daß das 
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schutzwürdige Interesse der betroffenen Person 
am Ausschluß der Verarbeitung überwiegt, 

3. wenn die Daten aus allgemein zugänglichen Quel- 
len entnommen werden können oder die verarbei- 
tende Stelle sie veröff entliehen dürfte, soweit nicht 
das schutzwürdige Interesse der betroffenen Per- 
son an dem Ausschluß der Verarbeitung offen- 
sichtlich überwiegt. 

(2) Der Dritte, dem personenbezogene Daten über- 
mittelt worden sind, darf diese nur für den Zweck ver- 
arbeiten, zu dessen Erfüllung sie ihm übermittelt wer- 
den. Eine Verarbeitung ist auch zulässig, wenn dem 
Dritten die Daten für den anderen Zweck hätten über- 
mittelt werden dürfen und die übermittelnde Stelle der 
Nutzung zustimmt. Die übermittelnde Stelle hat den 
Dritten auf die Zweckbindung hinzuweisen. 

§44 

Geschäftsmäßige Datenverarbeitung zum Zweck 
der Übermittlung 

(1) Das geschäftsmäßige Speichern oder Verändern 
personenbezogener Daten zum Zweck der Übermitt- 
lung ist zulässig, wenn 

1. kein Grund zu der Annahme besteht, daß die be- 
troffene Person ein schütz würdiges Interesse an 
dem Ausschluß der Speicherung oder Verände- 
rung hat, oder 

2. die Daten aus allgemein zugängüchen Quellen 
entnommen werden können oder die speichernde 
Stelle sie veröffentlichen dürfte, soweit nicht das 
schutzwürdige Interesse der betroffenen Person 
an dem Ausschluß der Speicherung und Verände- 
rung offensichtlich überwiegt. 

(2) Die Übermittlung ist zulässig, wenn der Emp- 
fänger ein berechtigtes Interesse an ihrer Kenntnis 
glaubhaft dargelegt hat und kein Grund zu der An- 
nahme besteht, daß die betroffene Person ein schutz- 
würdiges Interesse an dem Ausschluß der Übermitt- 
lung hat. Die Gründe für das Vorhegen eines berech- 
tigten Interesses und die Art und Weise ihrer glaub- 
haften Darlegung sind von der übermittelnden Stelle 
aufzuzeichnen. Bei der Übermittlung im automati- 
sierten Abrufverfahren obhegt die Aufzeichnungs- 
pflicht dem Empfänger. Für die Verarbeitung der 
übermittelten Daten güt § 43 Abs. 2 entsprechend. 

§45 

Automatisierte Veröffentlichung 

(1) Das automatisierte Veröff enthehen personenbe- 
zogener Daten ist nur zulässig, soweit die betroffene 
Person eingewilhgt hat. Eine Übernahme personen- 
bezogener Daten von Druckwerken zum Zweck der 
automatisierten Veröffentlichung ist nur zulässig, so- 
weit eine entsprechende Einwilligung in dem Druck- 
werk besonders vermerkt ist. 

(2) Das automatisierte Veröffentlichen ist unzuläs- 
sig, soweit die betroffene Person dem durch kosten- 
freie Eintragung in einer Widerspruchsliste beim 
Bundesbeauftragten für den Datenschutz widerspro- 


chen hat. Der Bundesbeauftragte stellt diese Liste ge- 
gen eine angemessene Gebühr auf Anfrage zur Ver- 
fügung. Die Widersprüche sind innerhalb von vier 
Wochen zu berücksichtigen. Eine Nutzung dieser 
Daten für andere Zwecke ist unzulässig. Erfolgt die 
Veröff entlichung zu einem festen Datum, so ist dieses 
in oder auf der Veröff entlichung zu vermerken. 

(3) Vor der erstmaligen Veröffentlichung ist der 
Bundesbeauftragte für den Datenschutz unter Anga- 
be der veröff enthehten Daten zu unterrichten. Dieser 
führt hierüber ein Register. Das Register kann von je- 
der Person eingesehen und genutzt werden. 

(4) Hat die betroffene Person der automatisierten Ver- 
öff entlichung ihrer personenbezogenen Daten in elek- 
tronischen Verzeichnissen gegenüber der verarbeiten- 
den Stelle widersprochen, so ist diese unzulässig. 

§46 

Datenverarbeitung zum Zweck der Werbung und 
der Markt- und Meinungsforschung 

(1) Die Verarbeitung für Zwecke der Werbung oder 
der Markt- oder Meinungsforschung ist unzulässig, 
wenn die betroffene Person 

1. gegenüber der verarbeitenden Stelle widerspro- 
chen hat oder 

2. sich beim Bundesbeauftragten für den Daten- 
schutz in die Werbestoppliste eintragen ließ und 

zuvor kein Kundenkontakt bestanden hat. 

(2) Natürliche Personen können sich beim Bundes- 
beauftragten für den Datenschutz kostenfrei in eine 
Werbestoppliste eintragen lassen. Der Bundesbeauf- 
tragte stellt diese Liste gegen eine angemessene Ge- 
bühr auf Anfrage zur Verfügung. Vier Wochen oder 
weniger vor einer Maßnahme nach Absatz 1 muß ein 
Abgleich mit der Liste vorgenommen werden, wenn 
zuvor kein Kundenkontakt bestanden hat. Eine Nut- 
zung dieser Daten für andere Zwecke ist unzulässig. 

(3) Die betroffene Person ist bei der Ansprache 
zum Zweck der Werbung oder der Markt- und Mei- 
nungsforschung über die speichernde Stelle, über 
die Herkunft der Daten, über die Kriterien der Aus- 
wahl sowie über das Widerspruchsrecht nach Ab- 
satz 1 zu unterrichten. 

(4) Werden personenbezogene Daten zum Zweck 
der Übermittlung in anonymisierter Form für die 
Markt- und Meinungsforschung gespeichert, sind 
die Merkmale gesondert zu speichern, mit denen An- 
gaben über persönliche oder sachliche Verhältnisse 
einer natürlichen Person zugeordnet werden können. 
Diese Merkmale dürfen mit den Angaben nur zusam- 
mengeführt werden, soweit dies für die Erfüllung des 
Zweckes der Speicherung oder zu wissenschaftli- 
chen Zwecken erforderlich ist. 

§47 

Verarbeitung besonderer Kategorien von Daten 

Bei der Verarbeitung besonderer Kategorien von 
Daten gemäß § 12 Abs. 1 ist, unbeschadet von § 12, 
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grundsätzlich davon auszugehen, daß Grund zu der 
Annahme besteht, daß die betroffene Person ein 
schutzwürdiges Interesse an dem Ausschluß der Ver- 
arbeitung hat. Dies gilt auch für Daten, die sich auf 
strafbare Handlungen, auf Ordnungswidrigkeiten 
sowie auf arbeitsrechtliche Verhältnisse beziehen. 

§48 

Aufsichtsbehörde 

(1) Die Aufsichtsbehörde überprüft die Ausführung 
datenschutzrechtlicher Vorschriften. 

(2) Die überprüften Stellen sowie die mit deren Lei- 
tung beauftragten Personen haben der Aufsichtsbe- 
hörde zur Erfüllung ihrer Aufgaben auf Verlangen 

1. die erforderlichen Auskünfte unverzüglich zu er- 
teüen, 

2. geschäftliche Unterlagen, die mit der Verarbei- 
tung personenbezogener Daten in Zusammen- 
hang stehen, vorzulegen, 

3. Kopien von automatisiert verarbeiteten Daten und 
Verarbeitungsprogrammen zur Verfügung zu stel- 
len, 

4. während der Betriebs- und Geschäftszeiten Zutritt 
zu Grundstücken und Geschäftsräumen zu ge- 
währen, 

5. Zugang zu Verfahren automatisierter Datenverar- 
beitung zu gewähren. 

(3) Die Auskunft nach Absatz 2 Nr. 1 kann auf sol- 
che Fragen verweigert werden, deren Beantwortung 
den Auskunftspflichtigen selbst oder einen der in 
§ 383 Abs. 1 bis 3 der Zivilprozeßordnung bezeichne- 
ten Angehörigen der Gefahr straf gerichtlicher Verfol- 
gung oder eines Verfahrens nach dem Gesetz über 
Ordnungs Widrigkeiten aussetzen würde. Der Aus- 
kunftspflichtige ist darauf hinzuweisen. 

(4) Zur Gewährleistung des Datenschutzes kann 
die Aufsichtsbehörde 

1. anordnen, daß im Rahmen der Anforderungen 
nach den §§ 14 bis 16 und 18 bis 20 Maßnahmen 
zur Beseitigung festgestellter technischer oder or- 
ganisatorischer Mängel getroffen werden, 

2. feststellen, daß bestimmte Formen der Verarbei- 
tung personenbezogener Daten unzulässig sind. 

Bei schwerwiegenden Mängeln kann sie den Einsatz 
einzelner Verfahren untersagen, wenn Mängel ent- 
gegen einer Anordnung bzw. Feststellung nach Satz 
1 in angemessener Zeit nicht beseitigt wurden. Sie 
kann die Abberufung des Datenschutzbeauftragten 
verlangen, wenn er die zur Erfüllung seiner Aufga- 
ben erforderliche Fachkunde und Zuverlässigkeit 
nicht besitzt. 

(5) Die Aufsichtsbehörde führt das Register nach 
§ 19 Abs. 3. § 41 Abs. 4 gilt entsprechend. Die Lan- 
desregierungen oder die von ihnen ermächtigten 
Stellen bestimmen die für die Überwachung der 
Durchführung des Datenschutzes im Anwendungs- 
bereich dieses Abschnittes zuständigen unabhängi- 
gen Aufsichtsbehörden. 


(6) Die Anwendung der Gewerbeordnung auf die 
den Vorschriften dieses Abschnittes unterliegenden 
Gewerbebetriebe bleibt unberührt. 


VIERTER ABSCHNITT 

Sondervorschriften 

§49 

Verhaltensregeln 

(1) Beruf sverbände, andere Vereinigungen, die be- 
stimmte Gruppen von verarbeitenden Stellen vertre- 
ten, sowie Vereinigungen, deren Zielsetzung im 
Schutz der in Artikel 1 Abs. 1 genannten Grundrech- 
te hegt, können Entwürfe für Verhaltensregeln zur 
Förderung der Durchführung von datenschutzrechtli- 
chen Vorschriften der zuständigen Datenschutzkon- 
trollinstanz unterbreiten. 

(2) Die zuständige Datenschutz kontrollins tanz 
stellt die Vereinbarkeit der ihr vorgelegten Entwürfe 
mit dem geltenden Recht fest und veröffentlicht 
diese. 

§50 

Datenverarbeitung bei Beschäftigungsverhältnissen 

(1) Die Verarbeitung personenbezogener Daten 
über frühere, bestehende oder zukünftige Beschäfti- 
gungsverhältnisse ist zulässig, soweit dies zur Einge- 
hung, Durchführung, Beendigung oder Abwicklung 
des Dienst- oder Arbeitsverhältnisses oder zur 
Durchführung organisatorischer, personeller und so- 
zialer Maßnahmen, insbesondere zu Zwecken der 
Personalplanung und des Personaleinsatzes, erfor- 
derlich ist oder eine Rechtsvorschrift, ein Tarifver- 
trag, eine Betriebs- oder eine Dienstvereinbarung 
dies vorsieht. 

(2) Für öffentliche Stellen des Bundes gelten die 
§§ 90 bis 90g des Bundesbeamtengesetzes in der je- 
weüs geltenden Fassung gegenüber den in Absatz 1 
genannten Personen, die hiervon nicht erfaßt wer- 
den, entsprechend. 

(3) Bei der erstmaligen automatisierten Speiche- 
rung ist der betroffenen Person die Art der über sie 
gespeicherten Daten mitzuteilen; bei wesentlichen 
Änderungen ist sie zu benachrichtigen. 

(4) Eine Übermittlung ist nur zulässig, wenn der 
Empfänger ein rechtliches Interesse darlegt oder die 
Art und Zielsetzung der dem Beschäftigten übertra- 
genen Aufgaben dies erfordern. Die Übermittlung an 
künftige Arbeitgeber ist nur mit Einwilligung der be- 
troffenen Person zulässig. 

(5) Die Weiterverarbeitung der bei ärztlichen oder 
psychologischen Untersuchungen und Tests zum 
Zweck der Eingehung eines Beschäftigungsverhält- 
nisses erhobenen Daten ist nur mit Einwilligung der 
betroffenen Person zulässig. Der Arbeitgeber darf 
von der untersuchenden Person oder Stelle grund- 
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sätzlich nur das Ergebnis der Eignungsuntersuchung 
und die dabei festgestellten Risikofaktoren anfor- 
dern. Fordert der Arbeitgeber weitere personenbezo- 
gene Daten an, so hat er die Gründe hierfür aufzu- 
zeichnen. Die betroffene Person ist zuvor zu unter- 
richten. Personenbezogene Daten, die zur Aufzeich- 
nung des Bewerbungsvorgangs nicht erforderlich 
sind, sind unverzüglich zu löschen, sobald feststeht, 
daß ein Beschäftigungsverhältnis nicht zustande 
kommt. Dies gilt nicht, wenn die betroffene Person in 
die weitere Speicherung schriftlich eingewilligt hat. 

(6) Medizinische und psychologische Befunde von 
Beschäftigten dürfen von personalverwaltenden Stel- 
len nicht in automatisierten Verfahren verarbeitet 
werden. Dies gilt nicht für Daten, die ausschließlich 
aus verarbeitungstechnischen Gründen vorüberge- 
hend vorgehalten werden. 

§51 

Datenverarbeitung zum Zweck wissenschaftlicher 
Forschung 

(1) Für Zwecke der wissenschaftlichen Forschung 
erhobene oder gespeicherte personenbezogene Da- 
ten dürfen nur für Zwecke der wissenschaftlichen 
Forschung verarbeitet werden. 

(2) Die Verarbeitung für Zwecke der wissenschaft- 
lichen Forschung ist zulässig, wenn 

1. die betroffene Person hierin eingewilligt hat, 

2. schutzwürdige Interessen der betroffenen Person 
wegen der Art der Daten oder wegen der Art der 
Verarbeitung für das jeweilige Forschungsvorha- 
ben nicht beeinträchtigt werden oder 

3. nach schriftlicher Feststellung des Datenschutzbe- 
auftragten das öffentliche Interesse an dem jewei- 
ligen Forschungsvorhaben gegenüber dem 
schutzwürdigen Interesse der betroffenen Person 
überwiegt und der Zweck der Forschung auf an- 
dere Weise nicht oder nur mit unverhältnismäßi- 
gem Aufwand erreicht werden kann. 

Der Datenschutzbeauftragte hat der zuständigen Da- 
tenschutzkontrollinstanz einmal jährlich eine Auf- 
stellung aller nach Nummer 3 durchgeführten For- 
schungsvorhaben mitzuteilen. 

(3) Die personenbezogenen Daten sind zu anony- 
misieren, sobald dies nach dem Forschungszweck 
möglich ist. Bis dahin sind die Merkmale, mit deren 
Hilfe ein Bezug auf eine bestimmte natürliche Person 
hergestellt werden kann, gesondert zu speichern; sie 
sind zu löschen, sobald der Forschungszweck dies 
gestattet. 

(4) Die wissenschaftliche Forschung betreibende 
Stelle darf personenbezogene Daten nur veröffentli- 
chen, wenn 

1 . die betroffene Person eingewilligt hat oder 

2. dies für die Darstellung von Forschungsergebnis- 
sen über Ereignisse der Zeitgeschichte erforder- 
lich ist. 


(5) Die übermittelnde Stelle hat Empfänger, auf die 
dieses Gesetz keine Anwendung findet, zu verpflich- 
ten, die Vorschriften der Absätze 1, 3 und 4 einzuhal- 
ten. 

§52 

Datenverarbeitung durch die Medien 

(1) Soweit personenbezogene Daten von Unterneh- 
men oder Hilfsuntemehmen der Presse, des Rund- 
funks oder des Films (Medienunternehmen) aus- 
schließlich zu eigenen journalistischen-redaktionel- 
len, künstlerischen oder literarischen Zwecken verar- 
beitet werden, gelten von den Vorschriften dieses 
Gesetzes nur die §§11 (Datengeheimnis), 14 bis 17 
(technisch-organisatorische Maßnahmen) und 28 
(Widerspruchsrecht). An die Stelle der Datenschutz - 
kontrollinstanz tritt insoweit der Medien-Daten- 
schutzbeauftragte, auf den § 18, ausgenommen Ab- 
satz 3 Satz 3 erste Alternative und Satz 4, sowie § 27 
anzuwenden sind. 

(2) Führt die Verarbeitung nach Absatz 1 zur Veröf- 
fentlichung von Gegendarstellungen der betroffenen 
Person, so sind diese Gegendarstellungen zu den ge- 
speicherten Daten zu nehmen und für dieselbe Zeit- 
dauer aufzubewahren wie die Daten selbst. 

(3) Wird jemand durch eine Berichterstattung der 
Rundfunkanstalten des Bundesrechts in seinem Per- 
sönlichkeitsrecht beeinträchtigt, so kann er Auskunft 
über die der Berichterstattung zugrundehegenden, 
zu seiner Person gespeicherten Daten verlangen. Die 
Auskunft kann nach Abwägung der schutzwürdigen 
Interessen der Beteiligten verweigert werden, soweit 
aus den Daten auf die Person des Verfassers, Einsen- 
ders oder der Gewährsperson von Beiträgen, Unter- 
lagen und Mitteilungen für den redaktionellen Teil 
geschlossen werden kann. Die betroffene Person 
kann die Berichtigung unrichtiger Daten oder die 
Hinzufügung einer eigenen Darstellung von ange- 
messenem Umfang verlangen. 

(4) Die geschäftsmäßige automatisierte Veröffentli- 
chung von personenbezogenen Daten aus Medienar- 
chiven, die erstmals vor mehr als fünf Jahren veröf- 
fentlicht worden sind, ist unzulässig. Die Übermitt- 
lung dieser Daten ist zulässig, wenn der Empfänger 
ein berechtigtes Interesse an ihrer Kenntnis glaub- 
haft dargelegt hat. § 44 Abs. 2 gilt entsprechend. 


FÜNFTER ABSCHNITT 

Schlußvorschriften 

§53 

Unterrichtung der Staatsanwaltschaft 

Erhält die Datenschutzkontrolhnstanz im Rahmen 
der Wahrnehmung ihrer Aufgaben Kenntnis von 
möglicherweise strafbaren Sachverhalten, so kann 
sie hierüber die zuständige Staatsanwaltschaft unter- 
richten. 
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§54 

Stralvorschriften 

(1) Wer gegen Entgelt oder in der Absicht, sich 
oder eine andere Person zu bereichern oder eine an- 
dere Person zu schädigen, unbefugt von diesem Ge- 
setz geschützte personenbezogene Daten, die nicht 
offenkundig sind, 

1. speichert, verändert oder übermittelt, 

2. zum Abruf mittels automatisierten Verfahrens be- 
reithält oder 

3. abruft oder sich oder einem anderen beschafft, 

4. dadurch erzeugt, daß er anonymisierte Daten mit 
anderen Informationen zusammenführt und da- 
durch die betroffene Person bestimmbar macht, 

wird mit Freiheitsstrafe bis zu zwei Jahren oder mit 
Geldstrafe bestraft. 

(2) Der Versuch ist strafbar. 

§55 

Ordnungswidrigkeiten 

(1) Ordnungswidrig handelt, wer vorsätzlich oder 
fahrlässig 

1. personenbezogene Daten, die nicht offenkundig 
sind, entgegen § 11 zu einem anderen als dem 
zur jeweiligen rechtmäßigen Aufgabenerfüllung 
gehörenden Zweck verarbeitet oder offenbart, 

2. sich durch Vortäuschung falscher Tatsachen per- 
sonenbezogene Daten, die nicht offenkundig 
sind, verschafft oder an sich oder andere über- 
mitteln läßt, 

3. entgegen § 18 Abs. 1 einen Datenschutzbeauf- 
tragten nicht oder nicht rechtzeitig bestellt, 

4. entgegen § 19 Abs. 1 eine Meldung nicht, nicht 
rechtzeitig oder entgegen § 19 Abs. 2 nicht rich- 
tig oder nicht vollständig erstattet, 


5. entgegen § 23 Abs. 3 vor Vertragsabschluß die 
Vorlage einer Auskunft verlangt, 

6. entgegen § 24 Abs. 1 die betroffene Person nicht, 
nicht richtig oder nicht vollständig benachrich- 
tigt, 

7. entgegen § 44 Abs. 2 oder § 52 Abs. 4 die dort be- 
zeichneten Gründe oder die Art und Weise ihrer 
glaubhaften Darlegung nicht aufzeichnet, 

8. entgegen § 48 Abs. 2 Nr. 1 eine Auskunft nicht, 
nicht richtig, nicht vollständig oder nicht recht- 
zeitig erteilt, 

9. den in § 48 Abs. 2 Nr. 2 bis 5 genannten Pflichten 
nicht nachkommt, 

10. oder der Beseitigungsanordnung festgestellter 
Mängel nach § 48 Abs. 4 Satz 2 nicht nach- 
kommt. 

(2) Die Ordnungswidrigkeit kann mit einer Geld- 
buße bis zu einhunderttausend Deutsche Mark ge- 
ahndet werden. 

§56 

Übergangsvorschrift 

Solange bereichsspezifische Regelungen des Bun- 
des nicht an die Begriffsbestimmungen des § 3 Abs. 3 
angepaßt wurden, gilt § 3 Abs. 4 bis 6 des Bundes- 
datenschutzgesetzes (BDSG) 1990 fort. 

§57 

Inkrafttreten, Außerkrafttreten 

(1) Dieses Gesetz tritt am Tage nach seiner Verkün- 
dung in Kraft. 

(2) Mit dem Inkrafttreten dieses Gesetzes tritt das 
Bundesdatenschutzgesetz (BDSG) vom 20. Dezember 
1990 (BGBl. I S. 2954), zuletzt geändert durch ..., 
außer Kraft. 


Bonn, den 28. Oktober 1997 


Manfred Such 

Joseph Fischer (Frankfurt), Kerstin Müller (Köln) und Fraktion 
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Begründung 


Allgemeines 

Erste Zielsetzung: Anpassung an die EU-Daten- 
schutzrichtlinie 

Am 24. Oktober 1995 trat die „Richtlinie 95/46/EG 
des Europäischen Parlaments und des Rates zum 
Schutz natürlicher Personen bei der Verarbeitung 
personenbezogener Daten und zum freien Datenver- 
kehr' 1 (EU-DSRL) in Kraft (ABI. EG Nr. L 281 S. 31 
vom 23. November 1995). Diese Richtlinie verlangt in 
Artikel 32 Abs. 1 Satz 1 von den Mitgliedstaaten, die 
zur Umsetzung erforderlichen Rechts- und Verwal- 
tungsvorschriften binnen drei Jahren zu erlassen. 
Dieser Gesetzgebungsauftrag richtet sich vor allem 
an den Bundesgesetzgeber, das Bundesdatenschutz- 
gesetz (BDSG) entsprechend zu ändern. Die EU- 
DSRL bezieht sich nur auf Tätigkeiten, die in den An- 
wendungsbereich des Gemeinschaftsrechts fallen. 
Hierzu gehören nicht nur die privatwirtschaftliche 
Datenverarbeitung, sondern auch große Bereiche der 
öffentlichen Verwaltung, z. B. im Umwelt-, Wirt- 
schafts- und Verwaltungsverfahrensrecht. Da der 
Umgang mit personenbezogenen Daten in der öffent- 
lichen Verwaltung in starkem Maße vom allgemei- 
nen Datenschutzrecht geprägt ist, bietet es sich an, 
den Anforderungen der EU-DSRL durch eine umfas- 
sende Änderung des BDSG gerecht zu werden. Da- 
durch wird auch sichergestellt, daß bei einer Auswei- 
tung der EG-Kompetenzen das BDSG nicht erneut 
angepaßt werden muß. Soweit bestimmte Bereiche 
nicht in den Kompetenzbereich der EG fallen, kön- 
nen von der EU-DSRL abweichende Regelungen ge- 
troffen werden, bzw. die bestehenden Gesetze kön- 
nen beibehalten werden. Die EU-DSRL macht eine 
Anpassung des nationalen Datenschutzrechtes auf 
einem hohen Niveau notwendig. Sie verlangt eine 
Vielzahl von Verbesserungen des BDSG. Es handelt 
sich insbesondere um folgende Änderungen: 

- Ausweitung des Anwendungsbereichs im nicht öf- 
fentlichen Bereich (§ 1 Abs. 2 Nr. 2), 

- Aufnahme einer einheitlichen Datenerhebungsre- 
gelung auch für den nicht öffentlichen Bereich 
(§ 6 ), 

- Einführung von Sonderregelungen über die Verar- 
beitung sog. sensibler Daten (§§ 12, 47), 

- Verbot automatisierter Einzelentscheidungen 

(§ 13), 

- Vorabkontrolle und Technikfolgenabschätzung 
(§ 18 Abs. 2 Satz 2 Nr. 4, § 20), 

- Einführung eines allgemeinen Widerspruchsrechts 
(§ 28), 

- Ausweitung der Befugnisse und Verbesserung der 
Rechtsstellung der Datenschutzkontrollinstanzen 
(§§ 38, 39, 48, 53), 


- Möglichkeit der Erarbeitung von Verhaltens regeln 
durch Beruf sverbände u. ä. (§ 49) und 

- Ausweitung des Datenschutzes im Medienbereich 
(§52). 


Zweite Zielsetzung: Modernisierung des Daten- 
schutzrechts 

Nach 7 Jahren Praxiserfahrung mit den Regelungen 
des BDSG hat sich gezeigt, daß das Gesetz in vieler 
Hinsicht konkretisierungs- und verbesserungsbe- 
dürftig ist. Dies gilt insbesondere für moderne Ver- 
fahren automatisierter Datenverarbeitung, die bei Er- 
arbeitung des BDSG 1990 noch nicht bekannt oder 
zumindest noch nicht in größerem Umfang einge- 
führt waren. Die Nutzung des Internets und anderer 
Kommunikationsnetze, die selbstverständliche Nut- 
zung neuer Datenträgersysteme wie CD-ROM oder 
Chipkarten, die massenhafte Verwendung von Per- 
sonalcomputern, beeindruckende Verbesserungen 
im Bereich der Sicherheitstechnik, insbesondere bei 
der Kryptografie, führen dazu, daß die derzeit gülti- 
gen Regelungen des BDSG, die sich noch an der 
Großrechnertechnologie der 70er und 80er Jahre 
orientieren, umfassend überarbeitet werden müssen. 
Bei dem Einsatz von einigen neuen technischen Ver- 
fahren (z. B. Videotechnik, Chipkarten, CD-ROM) 
greift die bisherige Regelungstechnik des BDSG teil- 
weise völlig ins Leere. Die Folge sind schwerwiegen- 
de unsanktionierte Verstöße gegen das Persönlich- 
keitsrecht und ein großes datenschutzrechtliches 
Vollzugsdefizit. Erste Vorschläge des Bundesministe- 
riums des Innern (BMI; Referentenentwurf zum 
BDSG, Stand 14. Januar 1997) beschränken sich, ab- 
gesehen von einigen unwesentlichen Korrekturen, 
auf die Umsetzung der EU-DSRL. Ein solcher Rege- 
lungsansatz nimmt billigend in Kauf, daß das Daten- 
schutzrecht immer mehr zum Papiertiger und zur rei- 
nen Alibiveranstaltung verkommt. Zudem macht er 
eine baldige erneute Novellierung des BDSG erfor- 
derlich. Dies kann weder im Interesse der Rechtsan- 
wender noch allgemein im Interesse der Rechtssi- 
cherheit hegen. Daher verfolgt der vorhegende Ge- 
setzentwurf einen umfassenden Regelungsansatz, 
bei dem nicht nur die praktizierte Form der Datenver- 
arbeitung, sondern auch absehbare künftige Ent- 
wicklungen berücksichtigt werden. Das allgemeine 
Datenschutzrecht ist in immer größerem Maße ver- 
woben mit dem Telekommunikations- und Medien- 
recht. Daher lehnt sich der vorhegende BDSG-Ent- 
wurf an moderne sonstige Regelungen des Informa- 
tions - und Kommunikationsrechts an und bezieht 
sich hierauf. 

Es werden insbesondere folgende Anpassungen an 
den technischen Standard vorgenommen: 

- Aufnahme neuer Kriterien bei der Systemgestal- 
tung (Revisionsfähigkeit § 14 Nr. 9, anonyme Nut- 
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zung § 16 Abs. 1 Satz 2 und 3, Datensparsamkeit 
§ 7 Abs. 3 Nr. 1, § 16 Abs. 2 Satz 1, Pflicht zur Zu- 
grif fssicherung § 15 Abs. 2), 

- Recht und Pflicht zur Datenverschlüsselung (§ 15 
Abs. 1, § 26), 

- Einführung des Datenschutz -Audits (§ 17), 

- Einführung einer Regelung zur externen System- 
wartung (§ 31 Abs. 6), 

- Chipkartenregelung (§ 32), 

- Regelung der Videoüberwachung (§ 33) und 

- Regelung der automatisierten Veröffentlichung 
personenbezogener Daten (§ 45). 

Außerdem werden folgende Verbesserungen des Da- 
tenschutzes vorgeschlagen: 

- Erweiterung des Schutzzweckes des Gesetzes auf 
den Grundrechtsschutz allgemein (§ 1 Abs. 1), 

- Präzisierung der Zweckbindung (§ 9 Abs. 1 und 2), 

- Einschränkung der Datenbeschaffung über Selbst- 
auskünfte (§ 22 Abs. 6), 

- Einschränkung der Generalklauseln im öffentli- 
chen Bereich (§§35 bis 38), 

- spezielle Vorschriften zum Direktmarketing (§46 
Abs. 2 und 3), 

- Regelung des Datenschutzes in Beschäftigungs- 
verhältnissen (§ 50) und 

- Einführung von Verbandsbeteiligungen in daten- 
schutzrechtlichen Verfahren (§ 20 Abs. 1 Satz 3, 
§49). 

Insofern greift der vorliegende Gesetzentwurf die 
Vorschläge der Konferenz der Datenschutzbeauftrag- 
ten des Bundes und der Länder (DSB-Konferenz) 
vom 14./15. März 1996 zur „Modernisierung und eu- 
ropäischen Harmonisierung des Datenschutzrechts" 
auf (abgedruckt in: 16. TB BfD 1995/96 - Drucksache 
13/7500 - Anlage 15, vgl. dort auch 1.4 und 2.1.5). 

Regelungskonzeption 

Die Grundkonzeption des vorliegenden Entwurfes 
ist: Bewährtes bewahren und Defizite beseitigen. 
Dies macht es (entgegen den BMI-Vorschlägen) zu- 
nächst erforderlich, die Terminologie des BDSG bez. 
der Verarbeitungsschritte an die Terminologie der 
meisten Landesdatenschutzgesetze und der EU- 
DSRL anzupassen. Statt die derzeit schon hochkom- 
plizierte BDSG-Struktur durch eingeflickte Rege- 
lungsfetzen noch weiter zu verkomplizieren, wird 
eine neue Ordnung gewählt. Statt die vollständige 
Trennung zwischen öffentlichem und nicht öffentli- 
chem Bereich beizubehalten, werden die meisten Re- 
gelungen vor die Klammer gezogen. Strukturell geht 
die EU-DSRL davon aus, daß Datenschutz im öffentli- 
chen und im nicht öffentlichen Bereich nach ver- 
gleichbaren Kriterien erfolgt. Dies entspricht auch 
den technischen Gegebenheiten, die durch das ge- 
meinsame Nutzen von datenverarbeitenden Medien 
(z. B. Chipkarten, Internet) eine strikte Trennung 
zwischen öffentlichem und nicht öffentlichem Be- 
reich nicht mehr erlaubt. Ein erwünschter Nebenef- 


fekt dieses Ansatzes ist, daß die Normen überschau- 
barer, verständlicher, klarer und einheitlich anwend- 
bar werden. Soweit Regelungen überflüssig gewor- 
den sind, etwa zum Fehlen von Landesrecht (§ 1 
Abs. 2 Nr. 2, § 27 Abs. 1 Nr. 2 Buchstabe b BDSG), zu 
den inzwischen privatisierten Sondervermögen des 
Bundes (Bahn, Post, z. B. § 2 Abs. 2 Satz 2 BDSG), 
wurden diese ersatzlos gestrichen. Soweit General- 
klauseln präzisiert werden konnten, ohne daß dies zu 
Beeinträchtigungen eines sinnvollen ADV-Einsatzes 
führt, wurden diese im Interesse der Normenbe- 
stimmtheit auf das Notwendige eingegrenzt. Dies 
führte vor allem zur Beseitigung der uferlosen Gene- 
ralklauseln im öffentlichen Bereich. Vorbildliche Re- 
gelungen aus bestehenden Gesetzen, insbesondere 
aus neueren Landesdatenschutzgesetzen, aus dem 
Medien- und dem Telekommunikationsrecht, wur- 
den übernommen. 

Damit liegt ein Vorschlag vor, der - anders als der Re- 
ferentenentwurf des BMI vom 14. Januar 1997 - sich 
auf der Höhe der Zeit bez. der technischen Entwick- 
lung und der juristischen Diskussion befindet. Ein 
solches Gesetz kann zum Vorbild für Landesregelun- 
gen und von Datenschutzrecht in anderen Staaten 
werden. 

Einzelbegründung 

Zu § 1 Abs. 1 (Zweck des Gesetzes) 

Der bisherige Verweis auf das Persönlichkeitsrecht 
als ausschließlicher Schutzzweck (§ 1 Abs. 1 BDSG) 
erfaßt nicht mehr die Regelungsbreite des Daten- 
schutzrechtes und auch nicht die reale Bedrohungssi- 
tuation durch moderne Datenverarbeitung. Das vom 
Bundesverfassungsgericht (BVerfG) aus dem Persön- 
lichkeitsrecht (Artikel 2 Abs. 1 i.V. m. Artikel 1 Abs. 1 
GG) abgeleitete Recht auf informationelle Selbstbe- 
stimmung (BVerfG, NJW 1984, 419 ff.), das in vielen 
Länderverfassungen ausdrücklich erwähnt wird 
(z. B. Artikel 4 Abs. 2 LVerf NW, Artikel 33, 34 
SächsLVerf), ist der zentrale verfassungsrechtliche 
Bezugspunkt des BDSG. Daneben haben jedoch fast 
alle anderen Grundrechte einen informationsrecht- 
lichen Gehalt, allen voran das in Artikel 10 GG 
geschützte Femmeldegeheimnis. Von zunehmender 
Bedeutung ist das Recht auf Gleichbehandlung (Arti- 
kel 3 GG), da die Informationstechnik neue perso- 
nenbezogene Differenzierungs- und damit Diskrimi- 
nierungsmöglichkeiten eröffnet. Durch den generel- 
len Verweis auf die Grundrechte wird zugleich zum 
Ausdruck gebracht, daß das BDSG bei Grundrechts - 
kollisionen einen Ausgleich sucht. Derartige Kollisio- 
nen bestehen z. B. bei der Presse- und Informations- 
freiheit (Artikel 5 GG) oder bei der Berufsfreiheit 
(Artikel 12 GG). 

Zu § 1 Abs. 2 bis 4 (Anwendungsbereich des 
Gesetzes) 

Im öffentlichen Bereich wird der Anwendungsbe- 
reich bez. vorübergehender und interner Dateien 
(§ 1 Abs. 3 BDSG) erweitert. Dies ist von Artikel 3 
Abs. 1 EU-DSRL gefordert, wonach es bei einer auto- 
matisierten Verarbeitung nicht mehr auf den Datei- 
begriff ankommt. Außerdem wird die gesamte Ak- 


20 




Deutscher Bundestag - 13. Wahlperiode 


Drucksache 13/9082 


ten-Datenverarbeitung erfaßt. Nur von der Erforder- 
lichkeitsprüfung ausgenommen werden Vorentwürfe 
und Notizen (§ 9 Abs. 1 Satz 2, bisher § 3 Abs. 3 
Satz 2 BDSG). 

Bisher orientiert sich der Anwendungsbereich des 
BDSG, insbesondere im nicht öffentlichen Bereich, 
am Dateibegriff (§ 1 Abs. 2 Nr. 3, § 27 Abs. 2 BDSG), 
der in § 3 Abs. 3 BDSG definiert ist. Hierauf kann 
künftig verzichtet werden, wenn die Umschreibung 
der Datei in Artikel 2 c EU-DSRL zur Umschreibung 
des Anwendungsbereichs im nicht öffentlichen Be- 
reich verwendet wird. Angesichts moderner Verar- 
beitungssysteme wie neuronale Netze, regelbasierte 
Systeme, Expertensysteme oder objektorientierte 
Programmierung erweist sich der überkommende 
Dateibegriff nicht mehr als trennscharf. Die bisherige 
Formulierung des § 27 BDSG „aus Dateien" wird in 
der Form übernommen, daß auch die Weiterverarbei- 
tung von Daten, die aus einer strukturierten Samm- 
lung stammen, erfaßt werden. Diese Regelung erfaßt 
sowohl die Weiterverarbeitung durch die verarbei- 
tende Stelle (Nutzung) wie durch andere Stellen 
nach einer Übermittlung. Damit wird verhindert, daß 
durch Übermittlung von Daten vom BDSG ge- 
schützte Daten aus dem Schutzbereich herausfallen. 

Der Ausschluß persönlicher und privater Datenverar- 
beitung aus dem Anwendungsbereich in Absatz 2 
Satz 1 Nr. 2 entspricht Artikel 3 Abs, 2 dritter Spie- 
gelstrich EU-DSRL. 

Mit Absatz 3 (Anwendung auf Stellen in der EU) wird 
das primäre Ziel der EU-DSRL, den freien Verkehr 
personenbezogener Daten in der EU nicht zu be- 
schränken (Artikel 1 Abs. 2 EU-DSRL), verwirklicht. 
Er setzt Artikel 4 EU-DSRL über die Abgrenzung 
des nationalen Regelungsbereichs in nationales deut- 
sches Recht um. Da der Begriff der Datenverarbei- 
tung auch die Datenerhebung umfaßt, ist das BDSG 
auch anwendbar, wenn Daten im Inland nur erhoben 
werden. Niederlassung ist jede auf Dauer angelegte 
selbständige oder imselbständige Einrichtung zur 
effektiven und tatsächlichen Ausübung einer Tätig- 
keit, ungeachtet ihrer Rechtsform. 

Die Regelung in Absatz 4 (Verhältnis zu anderen 
Regelungen) entspricht inhaltlich § 1 Abs. 4 Satz 1 
BDSG und erweitert diese auf Regelungen der 
Europäischen Gemeinschaften (EG). Berufs- und be- 
sondere Amtsgeheimnisse, die bisher ungeregelt blie- 
ben (§ 1 Abs. 4 Satz 2, § 39 BDSG), werden in das Re- 
gelungskonzept des neuen BDSG integriert (vgl. § 12). 

Zu § 2 (Öffentliche und nicht öffentliche Stellen) 

Die Regelung entspricht weitgehend dem bisherigen 
§ 2 BDSG. Die Formulierung erlaubt gegenüber der 
bisherigen Rechtslage eine einfachere Abgrenzung. 
Auf die bisher in § 2 Abs. 2 BDSG vorgenommene 
Definition der öffentlichen Stellen der Länder wird 
verzichtet. Diese Definition ist Ländersache. Bisher 
war die Unterscheidung zwischen öffentlichen und 
nicht öffentlichen Stellen von großer Bedeutung, da 
unterschiedliches Recht anzuwenden war. Dies gilt 
nicht mehr in dem Maße, da für beide Bereiche ein 
möglichst einheitlicher Datenschutzstandard formu- 


liert wird. Dessenungeachtet bleiben Unterschiede 
bestehen, da öffentliche Stellen den betroffenen Per- 
sonen hoheitlich gegenübertreten und gesetzlich 
präzise definierte Aufgaben wahmehmen, während 
nicht öffentliche Stellen mit den betroffenen Perso- 
nen privatrechtlich auf der gleichen Ebene stehen. 

Zu § 3 (Weitere Begriffsbestimmungen) 

Die Definition personenbezogener Daten nach Ab- 
satz 1 entspricht § 3 Abs. 1 BDSG sowie inhaltlich Ar- 
tikel 2 a EU-DSRL. Es kommt nicht darauf an, daß die 
verarbeitende Stelle die Identität der natürlichen Per- 
son kennt? ein personenbezogenes Datum ist schon 
dann anzunehmen, wenn für sie, evtl, mit Hilfe einer 
anderen Stelle, die Möglichkeit besteht, eine Identifi- 
zierung durchzuführen. Daten sind grundsätzlich 
auch dann personenbezogen, wenn sie einem Pseu- 
donym zugeordnet sind. 

Auf die Definition der Akte und der Datei kann we- 
gen der Regelung in § 1 Abs. 2 verzichtet werden. 
Die ausdrückliche Erwähnung von Bild- und Tonträ- 
gern als Beispiele für Aktenverarbeitung (§ 3 Abs. 3 
BDSG) ist angesichts der zunehmenden digitalisier- 
ten Verarbeitung von Bild und Ton, die regelmäßig 
den bisherigen Dateibegriff erfüllt, anachronistisch 
und kann daher ersatzlos entfallen. 

Der umfassende Verarbeitungsbegriff des Absatzes 3 
entspricht der Terminologie des Artikels 2 b EU- 
DSRL als auch der meisten Landesdatenschutz geset- 
ze. Dieser ist im Interesse einer möglichst einheitli- 
chen Handhabung anstelle des überkommenen Be- 
griffs des BDSG, der die Erhebung und die Nutzung 
nicht mit einbezieht (§ 3 Abs. 3 bis 6 BDSG) auch im 
Bundesrecht zu verwenden. Dies hat zweifellos bei 
der Revision der spezifischen Datenschutzregelun- 
gen im Bundesrecht weitreichende Folgen. Diese 
Folgen werden durch eine Übergangs regelung in 
§ 56 auf gefangen. Durch die weitere Fassung des 
Verarbeitungsbegriffs wird zudem die Lesbarkeit des 
Gesetzes erheblich verbessert. 

Der Begriff „Anonymisieren" entspricht § 3 Abs. 7 
BDSG. 

Der Begriff der „verarbeitenden Stelle" in Absatz 5 
entspricht inhaltlich § 3 Abs. 8 BDSG sowie der Defi- 
nition des „für die Verarbeitung Verantwortlichen" 
in Artikel 2 d EU-DSRL bzw. des „Auftragsverarbei- 
ters" in Artikel 2 e EU-DSRL. 

Der Begriff „Dritter" in Absatz 6 Satz 1 entspricht § 3 
Abs. 9 BDSG sowie Artikel 2 f EU-DSRL. 

In Artikel 2 g EU-DSRL wird der neue Begriff des 
„Empfängers" eingeführt. Dieser ist z. B. bei der Be- 
schreibung des Auskunftsanspruchs von Bedeutung 
(Artikel 12 a EU-DSRL). Zur Klarstellung wird bei 
der Defintion des Empfängers in Absatz 6 Satz 2 im 
Klammersatz erläutert, daß der Begriff sowohl den 
Übermittlungsempfänger als auch den Auftragneh- 
mer bei der Datenverarbeitung im Auftrag erfaßt. 

Zu § 4 (Zulässigkeit der Verarbeitung) 

Die Regelung entspricht § 4 Abs. 1 BDSG. 
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Zu § 5 (Einwilligung) 

Die Regelung entspricht § 4 Abs. 1 BDSG. In Arti- 
kel 2 Buchstabe h EU-DSRL wird besonders betont, 
daß nur eine ohne Zwang erteilte Einwilligung recht- 
lich wirksam ist. Sie muß nach Artikel 7 a EU-DSRL 
„ohne jeden Zweifel" erteilt worden sein (vgl. auch 
Artikel 26 Abs. 1 Buchstabe a EU-DSRL). Einwilli- 
gungen können auch befristet erklärt werden. Die 
eindeutige Bestimmbarkeit bezieht sich insbeson- 
dere auf die Verarbeitungszwecke und die verarbei- 
tenden Stellen (Empfänger), u. U. aber auch auf das 
Verarbeitungssystem. Bei der Einwilligung kann in- 
sofern differenziert werden. Der Hinweis auf die 
Widerruflichkeit stellt nur eine Klarstellung dar. Bei 
Widerruf der Einwilligung wird die weitere Verarbei- 
tung grundsätzlich unzulässig. 

Auf die Sonderregelung zur Einwilligung im Bereich 
der wissenschaftlichen Forschung (§ 4 Abs. 3 BDSG) 
wird verzichtet. Der darin zum Ausdruck kommende 
Gedanke kann bei der Auslegung der „Angemessen- 
heit" in Satz 2 berücksichtigt bleiben. Der Verzicht 
auf die Schriftlichkeit der Einwilligung ist gemäß § 51 
Abs. 2 Nr. 3 weiterhin schriftlich festzuhalten. 

In Absatz 3 wird den modernen technischen Erfor- 
dernissen entsprechend neben der schriftlichen die 
elektronisch erklärte Einwilligung zugelassen. Die 
Regelung entspricht dem Vorschlag des § 3 Abs. 7 
des Entwurfs eines Telekommunikationsdiensteda- 
tenschutzgesetzes (TDDSG). 

Zu § 6 (Datenerhebung) 

Nach Artikel 2 b EU-DSRL wird der Vorgang der Da- 
tenerhebung auch im nicht öffentlichen Bereich dem 
Vorbehalt des Gesetzes unterstellt. Dies ermöglicht 
eine einheitliche Regelung für nicht öffentliche und 
öffentliche Stellen. Artikel 10 EU-DSRL fordert die in 
Absatz 1 Satz 3 vorgesehene Verbesserung der Un- 
terrichtung der von einer Datenerhebung betroffe- 
nen Person. Für den Fall, daß die Daten nicht bei der 
betroffenen Person erhoben werden, erfolgt eine Be- 
nachrichtigung nach § 24. Die generelle Erhebungs- 
regelung schließt nicht aus, daß bereichsspezifisch 
zusätzlich Besonderheiten normiert werden. 


Zu § 7 (Verantwortung bei der Datenübermittlung) 

Die Regelung entspricht § 15 Abs. 2, § 16 Abs. 2, § 17 
Abs. 3 BDSG. Ihr Anwendungsbereich wird auf den 
privaten Bereich ausgedehnt. Die Verantwortung bei 
der Übermittlung im automatisierten Abrufverfahren 
ist in § 30 Abs. 4 geregelt. 

Zu § 8 (Datenübemüttlung in Drittländer) 

Die EU-DSRL macht eine umfassende Neuregelung 
der Datenübermittlung ins Ausland notwendig. Arti- 
kel 1 Abs. 2 EU-DSRL fordert den ungehinderten Da- 
tenaustausch innerhalb der EU. In der Regelung wer- 
den die Anforderungen der Artikel 25 und 26 EU- 
DSRL umgesetzt. 

Durch Absatz 7 wird sichergestellt, daß die Übermitt- 
lung in Drittländer nicht unter erleichterten Bedin- 


gungen erfolgen kann als die Übermittlung inner- 
halb der EU. Außerdem bleiben dadurch verfahrens- 
rechtliche Vorschriften (z. B. die Benachrichtigung 
gemäß § 37 Abs. 1 Nr. 3 bei Übemüttlungen vom 
öffentlichen in den privaten Bereich) anwendbar. 

Zu § 9 (Allgemeine Grundsätze: Zweckbindung, 
Erforderlichkeit, Datenvermeidung, Daten- 
sicherheit, Transparenz) 

Es besteht ein Bedürfnis, die grundlegenden Prinzi- 
pien des Datenschutzes im Gesetz „vor der Klam- 
mer" klarzulegen. Hierauf beziehen sich die weite- 
ren Regelungen des Gesetzes zum Umgang mit per- 
sonenbezogenen Daten. Sie sind Auslegungsricht- 
schnur des Gesetzes. 

Der Grundsatz der Erforderlichkeit in Absatz 1 Satz 1 
ergibt sich aus Artikel 6 Abs. 1 Buchstabe c und e 
EU-DSRL. 

Der Zweckbindung nach den Absätzen 1 und 2 wird 
eine eigenständige Regelung gewidmet. In Umset- 
zung des Artikels 6 EU-DSRL wird klargestellt, daß 
dieser Grundsatz auch im nicht öffentlichen Bereich 
gilt. Zur Vermeidung einer ausufemden Interpreta- 
tion des Verarbeitungszwecks wird klargestellt, daß 
bei der Festlegung des Zwecks neben dem Erhe- 
bungs-/Speicherungsgrund auch der Verwendungs- 
zusammenhang und das eingesetzte System maß- 
geblich sind. 

Artikel 6 Abs. 1 Buchstabe b EU-DSRL konkretisiert 
das Zweckbindungsprinzip durch das Verbot unver- 
einbarer Verarbeitungszwecke und greift damit eine 
entsprechende Passage des Volkszählungsurteüs des 
BVerfG auf (BVerfG, NJW 1984, 427). Verarbeitungs- 
zwecke sind miteinander unvereinbar, wenn das Ver- 
folgen des einen Zwecks dazu führt, daß das Errei- 
chen des anderen Zwecks nicht erreicht werden 
kann bzw. unvertretbar erschwert wird. Dies ist z. B. 
der Fall, wenn bei den betroffenen Personen erho- 
bene statistische Planungsdaten für Verwaltungs- 
zwecke genutzt werden sollen. 

Das Verbot von Persönlichkeitsprofilen (vgl. § 12 
Abs. 6 SächsDSG) basiert auf der Rechtsprechung 
des BVerfG (BVerfGE 27, 6). Damit soll ausgeschlos- 
sen werden, daß mit automatisierten Mitteln Daten 
so zusammengefaßt verarbeitet werden, daß die be- 
troffene Person zum reinen Objekt degradiert und 
damit ihrer menschlichen Würde beraubt wird. 

Der Grundsatz der Datenvermeidung (Absatz 3 Nr. 1) 
wird erstmalig in das allgemeine Datenschutzrecht 
aufgenommen. 

Die Verantwortlichkeit der verarbeitenden Stelle für 
die insbesondere in den §§14 ff. auf geführten Maß- 
nahmen der Datensicherheit wird in Absatz 3 Nr. 2 
festgelegt. 

Transparenz nach Absatz 3 Nr. 3 ist die Grundvoraus- 
setzung für die betroffenen Personen, um zu erfah- 
ren, wer wann bei welcher Gelegenheit etwas über 
sie weiß. Außerdem ist es eine Voraussetzung für die 
Datenschutzkontrolle und damit für die Durchset- 
zung datenschutzrechtlicher Vorschriften. Transpa- 
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renz wird durch eine Vielzahl von Regelungen in die- 
sem Gesetz verwirklicht. Dies sind insbesondere 

- die Auskunftspflicht (§23), 

- die Benachrichtigungspflicht (§ 24), 

- Informationspflichten, z. B. bei Einholung einer 
Einwilligung (§ 5 Satz 3), bei der Datenerhebung 
(§ 6 Abs. 1), bei beabsichtigten Übermittlungen 
vom öffentlichen in den privaten Bereich (§ 37 
Abs. 1 Nr. 3) beim Einsatz von Chipkarten u. ä. 
(§ 32 Abs. 4 Satz 1) und 

- die neu eingeführte Quittierungspflicht beim Ein- 
satz von Chipkarten u. ä. (§ 32 Abs. 2). 

Neben Maßnahmen, die eine Transparenz für die je- 
weiligen Betroffenen schafft, fordert Artikel 21 Abs. 1 
EU-DSRL allgemeine „Maßnahmen, mit denen 
die Öffentlichkeit der Verarbeitungen sichergestellt 
wird“. Diesem Ziel dienen 

- die Meldepflicht, verbunden mit dem Einsichts- 
recht in die Meldungen (§ 19), 

- die Pflicht der Datenschutzbeauftragten, die bei 
diesen geführte Übersicht verfügbar zu machen 
(§ 18 Abs. 4 Satz 2), 

- die Veröffentlichung der Ergebnisse und der Be- 
gründung von Technikfolgenabschätzungen (§ 20 
Abs. 1 Satz 4), 

- die Hinweispflicht beim Einsatz von Videoüberwa- 
chung (§ 33 Abs. 1 Satz 2), 

- die Veröffentlichung eines zweijährlichen Tätig- 
keitsberichts durch den Bundesbeauftragten (§41 
Abs. 1) und 

- das Einsichtsrecht in das Register automatisierter 
Veröffentlichungen (§ 45 Abs. 3 Satz 2). 

Zu § 10 (Besondere Regelungen zur Zweckbindung) 

Absatz 1 entspricht dem bisherigen § 14 Abs. 4, § 31 
BDSG, die zusammengefaßt werden. Zu Daten, die 
der Sicherstellung eines ordnungsgemäßen Betriebes 
dienen, gehören die Protokolldaten aus lokalen Net- 
zen, Firewalls, Sicherheitsprodukten und z. B., soweit 
diesen keine weitere Funktion zukommt, Daten, die 
bei Internet-Providern anfallen. 

Zu § 11 (Datengeheimnis) 

Die Regelung entspricht § 5 BDSG sowie den Anfor- 
derungen des Artikels 16 EU-DSRL. Die bisherige 
Ausnahme öffentlicher Stellen von der ausdrückli- 
chen Verpflichtung auf das Datengeheimnis wird ge- 
strichen. Auch im öffentlichen Bereich soll die mit 
der Verpflichtung verbundene Aufklärung der Be- 
diensteten sichergestellt werden. 

Zu § 12 (Verarbeitung besonderer Kategorien von 
Daten) 

Artikel 8 EU-DSRL erlaubt die Verarbeitung von be- 
sonders sensiblen Daten nur unter engen materiellen 
Voraussetzungen. Gegenüber den allgemeinen 
rechtlichen Regelungen ist ein verstärkter materieller 
und Verfahrens rechtlicher Schutz erforderlich. Der 


Schutz nach Artikel 8 EU-DSRL muß mit dem teilwei- 
se sich überschneidenden Schutz von Berufs- und 
besonderen Amtsgeheimnissen in Einklang gebracht 
werden. Dies wird dadurch erreicht, daß beiden Da- 
tenkategorien ein weitgehend gleichwertiger Schutz 
zugeschrieben wird. Zugleich werden in Absatz 3 ty- 
pische allgemeine Offenbarungstatbestände einge- 
führt, mit denen vermieden werden kann, daß auf 
die Rechtsfigur des rechtfertigenden Notstands (§ 34 
StGB) als Verarbeitungsbefugnisnorm zurückgegrif- 
fen werden muß. Absatz 2 stellt aber klar, daß bei Be- 
rufs- und besonderen Amtsgeheimnissen ansonsten 
eine Offenbarung einer gesetzlichen Grundlage be- 
darf. In jedem Fall gehen spezifische Regelungen 
vor. Bei deren Erlaß sind die Grenzen des Artikels 8 
Abs. 2 bis 4 EU-DSRL zu beachten. Geraten beson- 
ders geschützte Angaben an Dritte, so waren sie bis- 
her nicht besonders geschützt. Diese Regelungslücke 
wird durch Absatz 1 behoben. 

Während bei sensiblen Daten, der Vorlage des Arti- 
kels 8 Abs. 5 EU-DSRL folgend, eine Zweckänderung 
durch Rechtsvorschrift möglich ist, ist dies bei Berufs- 
und besonderen Amtsgeheimnissen - wie bisher 
(vgl. § 39 Abs. 2 BDSG) - nur durch Gesetz möglich. 

Bei öffentlichen Stellen schränkt § 12 die Möglichkei- 
ten der Zweckänderung nach § 35 ein. Bei den nicht 
öffentlichen Stellen wird die Zweckänderung, wie sie 
vor allem § 43 Abs. 1 Nr. 2 bis 4 erlaubt, einge- 
schränkt. Auch bei einer zweckentsprechenden Da- 
tenverarbeitung ist aber bei nicht öffentlichen Stellen 
gemäß § 47 zusätzlich eine Güterabwägung vorzu- 
nehmen. 


§ 13 (Automatisierte Einzelentscheidungen) 

Artikel 15 EU-DSRL fordert ein generelles Verbot au- 
tomatisierter Einzelentscheidungen, verbunden mit 
der Möglichkeit, Ausnahmen vorzusehen. Soweit 
Ausnahmen vorgesehen werden sollen, bedürfen sie 
einer speziellen gesetzüchen Grundlage. 

Zum Zweiten Unterabschnitt (Technische und 

organisatorische 

Maßnahmen) 

Ergänzend zu den 10 Geboten der Datensicherheit 
(sog. technische und organisatorische Maßnahmen, 
vgl. § 9 BDSG mit Anlage) sind weitere technische 
Regeln nötig, die Datenvermeidung, Vertraulichkeit, 
Verfügbarkeit, Integrität und Authentizität der Daten 
sicherstellen. Auf die 10 Gebote der Datensicherheit, 
die ursprünglich auf die Großrechnertechnologie vor 
20 Jahren ausgerichtet waren, die aber auch bei Klein- 
rechnern und bei vernetzten Systemen anwendbar 
sind, kann als Auf fangnorm nicht verzichtet werden. 

Sie müssen aber weiterentwickelt werden. 


Zu § 14 (Standardmaßnahmen) 

Es macht keinen Sinn, die technischen und organisa- 
torischen Standardmaßnahmen in einer Anlage des 
Gesetzes aufzuführen (so bisher Anlage zu § 9 Satz 1 
BDSG). Dem Vorbild vieler Landesdatenschutzgeset- 
ze folgend (z. B. § 7 Abs. 2 NDSG), werden diese 


23 


Drucksache 13/9082 


Deutscher Bundestag - 13. Wahlperiode 


Maßnahmen in das Gesetz inkorporiert. Die derzeit 
gültigen Standardmaßnahmen (sog. 10 Gebote) 
orientieren sich noch in starkem Maße an der Groß- 
rechnertechnologie, z. B. indem zwischen Datenträ- 
ger- und Speicherkontrolle (Eingabe bzw. weitere 
Verarbeitung) differenziert wird. Daher werden Maß- 
nahmetypen zusammengefaßt. 

Regelmäßig erfüllen bestimmte Datensicherungs- 
maßnahmen mehrere Kontrollzwecke. Überschnei- 
dungen bei den Maßnahmen sind zwangsläufig, ja 
erwünscht. Die allgemeinen Sicherungserfordemisse 
werden durch Artikel 17 Abs. 1 EU-DSRL vorgege- 
ben. 

Mit Nummer 5 wird dem Umstand Rechnung getra- 
gen, daß in verarbeitenden Stellen verstärkt mit ver- 
netzten Rechner Systemen gearbeitet wird. 

Artikel 17 Abs. 2 und 3 EU-DSRL fordert die Auf- 
tragskontrolle nach Nummer 6. 

Die unter Nummer 8 neu aufgenommene Verfügbar- 
keitskontrolle wird von Artikel 17 EU-DSRL verlangt. 
Schutz vor zufälliger Zerstörung oder Verlust bedeu- 
tet z. B. Schutz vor Blitzschlag oder Stromausfall. Ge- 
eignete Sicherungsmaßnahmen sind z. B. das Erstel- 
len zusätzlicher Sicherungskopien und deren ge- 
schützte Lagerung. 

Artikel 17 Abs. 4 EU-DSRL verlangt zum Zweck der 
Beweissicherung die Dokumentation der daten- 
schutzrelevanten Verfahrenselemente. Dies ist durch 
die bisherigen 10 Gebote nicht ausreichend sicherge- 
stellt. Daher fordert Nummer 9 die Sicherstellung der 
Revisionsfähigkeit der Datenverarbeitungs verfahren. 
Revisionsfähigkeit ist die Möglichkeit, technische 
und organisatorische Abläufe der Datenverarbeitung 
und Rahmenbedingungen davon den jeweils Verant- 
wortlichen zuzurechnen. Auch dies ist ein Hüfsmittel 
zur Sicherstellung der Transparenz. Bei der Gestal- 
tung der Hard- und der Software müssen Mittel zur 
Verfügung stehen, die einen Abgleich des Ist- mit 
dem Sollzustand ermöglichen. Dies erfolgt durch die 
vollständige Dokumentation des Systems, die ver- 
bindliche Festlegung des Umgangs mit dem System 
und eine geeignete (automatische) Protokollierung 
relevanter Systemveränderungen. Die Möglichkeit 
des Auffindens von Daten, die z. B. bei Experten- 
systemen oder sonstigen komplexen Datenbanken 
keine Selbstverständlichkeit ist, wird durch die Revi- 
sionskontrolle eingefordert. 

Die Organisationskontrolle nach Nummer 10 dient 
einerseits als Auf fangnorm, andererseits erfaßt sie 
alle nicht technischen Maßnahmen (z. B. Dienst- 
vorschriften, Anweisungen, Bedienungsanleitungen, 
Zuständigkeitspläne). Auf sie kann im Rahmen der 
Datensicherung nicht verzichtet werden. 

Zu § 15 (Besondere Maßnahmen) 

Die Verschlüsselung von Daten bei der Speicherung, 
aber vor allem bei der Datenübermittlung, wird als 
besondere Datensicherheitsmaßnahme empfohlen 
bzw. vor geschrieben (Absatz 1). 

Absatz 2 regelt zwingend die Zugangs- und Zugriffs - 
kontrolle (vgl. § 16 Nr. 1). Schutzsoftware ist heute 


allgemein und mit vertretbarem Kostenaufwand er- 
hältlich. Die Regelung findet beim Einsatz von Perso- 
nalcomputer in ungesicherten Räumen ebenso An- 
wendung wie beim Zugang zu öffentlichen Netzen. 

Zu § 16 (Grundsätze der Systemgestaltung) 

Die Regelung orientiert sich weitgehend am Medien- 
dienste-Staatsvertrag (MD-SV), der sich derzeit im 
Gesetzgebungsverfahren der Länderparlamente be- 
findet. § 12 Abs. 3 MD-SV verbietet die faktische Er- 
zwingung datenschutzrechtlicher Einwilligungen 
(Absatz 1 Satz 1). Das Recht zur Inanspruchnahme 
von anonymen bzw. pseudonymen Nutzungen von 
Angeboten (Absatz 1 Satz 2) orientiert sich an § 13 
Abs. 1 MD-SV. Der Grundsatz der Datensparsamkeit 
(Absatz 2 Satz 1) ist in § 12 Abs. 5 MD-SV enthalten. 
Es ist leider immer wieder festzustellen, daß Daten- 
verarbeitungssysteme so ausgestaltet sind, daß sie 
den Anforderungen des Datenschutzrechts nicht ent- 
sprechen (z. B. Unmöglichkeit, bestimmte Daten zu 
löschen oder zu sperren, ungenügende Protokollie- 
rung, vgl. z. B. XIII. TB LfD Nds. 1995/96, 44, 70). Da- 
her wird eine ausdrückliche Überpriifungspflicht der 
technischen Verfahren auf deren Vereinbarkeit mit 
dem Recht festgelegt (Absatz 2 Satz 2). Hierbei kann 
auf externen Sachverstand zurückgegriffen werden 
(Absatz 2 Satz 3, vgl. Datenschutz-Audit: § 17). 

Zu § 17 (Datenschutz-Audit) 

Das Datenschutz-Audit verfolgt das Ziel, daten- 
schutzfreundliche Produkte auf dem Markt zu för- 
dern, indem deren Datenschutzkonzept geprüft und 
bewertet wird. Eine entsprechende Regelung zum 
Datenschutz- Audit enthält § 17 MD-SV. Das Instru- 
ment des Datenschutz-Audits läßt sich dadurch för- 
dern, daß bewertete Produkte bei der Anschaffung 
vor gezogen werden (§16 Abs. 2 Satz 2). 

Zu § 18 (Behördlicher bzw. betrieblicher Daten- 
schutzbeauftragter) 

Soweit von Melderegelungen Abstriche gemacht 
werden, verpflichtet Artikel 18 Abs. 2 zweite Alterna- 
tive EU-DSRL zur Bestellung von betrieblichen oder 
behördlichen Datenschutzbeauftragten. Diesen ob- 
liegt die „unabhängige Überwachung" des Daten- 
schutzes. Da Datenschutzbeauftragte öffentlicher 
Stellen oft zugleich betriebliche Datenschutzbeauf- 
tragte nach den §§ 36, 37 BDSG sind, sollte das 
BDSG eine einheitliche Vorgabe enthalten. Die Kon- 
zeption zum betrieblichen Datenschutzbeauftragten 
hat sich bewährt und wird übernommen. 

Bei einer Betriebsgröße von mehr als 500 EDV-Be- 
schäftigten ist im Interesse einer ausreichenden Prä- 
senz die Bestellung eines eigenen Mitarbeiters als 
Datenschutzbeauftragter notwendig, der für diese 
Tätigkeit freigestellt wird. So soll ausgeschlossen 
werden, daß die Bestellung zum reinen Alibi wird. Ist 
die Aufgabe des Datenschutz beauftragten nicht von 
einer einzelnen Person zu bewältigen, so ist nicht 
ausgeschlossen, daß dem Datenschutzbeauftragten 
weitere unterstützende Personen zugeordnet werden 
(Absatz 4 Satz 3). 
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Absatz 1 Satz 1 stellt sicher, daß nicht nur bei der Be- 
rufung eines sog. internen, sondern auch eines exter- 
nen (d.h. nicht betriebsangehörigen) Datenschutz- 
beauftragten die Mitbestimmungsregelung greift. 
Der Begriff „Vertretung der Beschäftigten" erfaßt so- 
wohl den Personalrat von öffentlichen Stellen wie 
den Betriebsrat in der Privatwirtschaft. Besteht keine 
Vertretung der Beschäftigten, so entfällt die Mitbe- 
stimmung. 

Der Datenschutzbeauftragte erhält ein Beratungs- 
recht und eine entsprechende Pflicht bez. der Aus- 
wahl von Verarbeitungsverfahren sowie - Artikel 20 
Abs. 2 EU-DSRL folgend - Aufgaben bei der Vorab- 
kontrolle. Das Einsichtsrecht in die beim Daten- 
schutzbeauftragten zu führende Systemübersicht 
wird in Artikel 21 Abs. 3 EU-DSRL zwingend vorge- 
schrieben. Neben Absatz 1 Satz 1 stellt auch Absatz 3 
Satz 3 klar, daß personelle Entscheidungen zum Da- 
tenschutzbeauftragten mitbestimmungspfhchtig sind. 
Die Entbindungsregelung des § 36 Abs. 3 Satz 3 
BDSG, die in der Praxis viele Unklarheiten zur Folge 
hat, wird durch eine klarere Regelung ersetzt, die 
auch sog. „externe" Datenschutzbeauftragte erfaßt. 

Zu § 19 (Meldepflicht) 

Die Regelung ersetzt die Norm zum Dateienregister 
beim Bundesbeauftragten in § 26 Abs. 5 BDSG sowie 
die Meldepflicht nach § 32 BDSG für nicht öffentliche 
Stellen gegenüber der Aufsichtsbehörde. Die Melde- 
pflicht wird auf das von Artikel 18, 19 EU-DSRL ge- 
forderte Maß beschränkt. Artikel 19 Abs. 1 Buch- 
stabe d und e EU-DSRL fordert eine Erweiterung der 
im Rahmen der Meldepflicht zu machenden Anga- 
ben. 

Zur Führung des in Absatz 3 erwähnten Registers bei 
den Datenschutzkontrollinstanzen und zur Gewäh- 
rung der Einsichtnahme durch jedermann verpflich- 
tet Artikel 21 Abs. 2 EU-DSRL. 

In einer Rechtsverordnung, die gemäß Artikel 80 
Abs. 2 GG der Zustimmung des Bundesrates bedarf, 
werden die näheren Voraussetzungen der Melde- 
pflicht festgelegt. Hierbei sind insbesondere gemäß 
Artikel 18 Abs. 2 erster Spiegelstrich EU-DSRL die 
Verarbeitungskategorien festzulegen, bei denen un- 
ter Berücksichtigung der zu verarbeitenden Daten 
und der sonstigen Umstände eine Beeinträchtigung 
der Grundrechte unwahrscheinlich ist. 

Zu § 20 (Vorabkontrolle durch Technikfolgen- 
abschätzung) 

Artikel 20 EU-DSRL iordert eine Vorabkontrolle, wie 
sie schon heute in § 7 Abs. 3 NDSG als einzigem 
deutschen Datenschutzgesetz vorgesehen ist. Wegen 
der bisher aufgetretenen Probleme bei der Anwen- 
dung des § 7 Abs. 3 NDSG und im Hinbück auf die 
Vorgabe der EU wird die Formulierung zur Technik- 
folgenabschätzung modifiziert. Außerdem wird erst- 
mals im deutschen Datenschutzrecht, dem Umwelt- 
und dem Verbraucherschutzrecht folgend, die Ein- 
führung einer Verbandsbeteiligung vorgesehen. Bei 
Verfahren, von denen keine spezifischen Risiken 
ausgehen, wird die Vorabkontrolle durch den Daten- 


schutzbeauftragten gemäß § 18 Abs. 2 Nr. 4 durchge- 
führt. 


Zu §21 (Unabdingbarkeit) 

Die Regelung entspricht § 6 Abs. 1 BDSG. 


Zu § 22 (Sicherung der Betroffenenrechte) 

Es entstehen immer mehr Dateien, an denen mehrere 
Stellen beteiügt sind. Typisch ist diese Konstellation 
bei Chipkartenanwendungen. Die Betroffenen laufen 
hier Gefahr, bei der Wahrnehmung ihrer Rechte nicht 
den richtigen Ansprechpartner zu finden, da für sie 
nicht überschaubar ist, wer verarbeitende Stelle ist. 
Daher wird § 6 Abs. 2 BDSG (vgl. auch neuerdings 
z. B. § 4 Abs. 2 BrDSG) in Absatz 1 inhaltlich über- 
nommen. 

Immer wieder ist festzustellen, daß verarbeitende 
Stellen, gegenüber denen Betroffene ihre Rechte 
direkt oder über den Landesbeauftragten für den 
Datenschutz geltend machen, die streitbefangenen 
Daten löschen, um sich einer Auskunft, einer Bean- 
standung oder auch einem Schadensersatz zu ent- 
ziehen. Obwohl Gerichte festgestellt haben, daß eine 
solche Löschung unzulässig ist, weil Grund zur 
Annahme besteht, daß Betroffenenbelange beein- 
trächtigt werden, findet diese Praxis weiterhin statt. 
Es bedarf daher der eindeutigen ausdrücklichen 
Regelung des Absatzes 2. 


Zu § 23 (Auskunft an die betroffene Person) 

Artikel 12 a dritter Spiegelstrich EU-DSRL verlangt 
die in Absatz 1 enthaltene Erweiterung des Aus- 
kunftsanspruchs. Die Regelungen des § 19 und des 
§ 34 BDSG werden zusammengefaßt. 

Die Auskunftsverweigerung soll die Ausnahme blei- 
ben. Daher werden die Gründe, weshalb eine Aus- 
kunft unterbleiben kann, in Absatz 3 eng begrenzt. 

Entgegen dem bisherigen § 34 Abs. 5 BDSG soll die 
Auskunftserteilung immer unentgeltich sein. Ein ge- 
ringes Entgelt bei wirtschaftiicher Nutzungsmögüch- 
keit wird derzeit nur von der Bundes -Schuf a ver- 
langt. Damit soll vermieden werden, daß sich im Aus- 
kunftsgeschäft interessierte Stellen bei Bonitätsprü- 
fungen von den betroffenen Personen Selbstaus- 
künfte vorlegen lassen, statt eine direkte Auskunft 
einzuholen. Die bisherige kompüzierte Entgeltrege- 
lung ist aber wegen ihrer geringen tatsächlichen Be- 
deutung überflüssig. Durch Absatz 6 wird der Miß- 
brauch durch Selbstauskünfte eingeschränkt. Außer- 
dem besteht für die verarbeitenden Stellen die Mög- 
üchkeit, durch die Gestaltung der Auskunft (z. B. 
Weglassen der Namensangaben) die wirtschaftiiche 
Nutzbarkeit einzuschränken bzw. auszuschließen. 

Mit Absatz 6 soll verhindert werden, daß sich Stellen 
gespeicherte Daten über die betroffene Person be- 
schaffen, die sich in einer Zwangslage (z. B. anläßÜch 
des Abschlusses eines Wohnungs-, Versicherungs- 
oder Arbeitsvertrags) befinden. 
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Zu § 24 (Benachrichtigung) 

Die Benachrichtigung nach den Absätzen 1 und 2 er- 
gibt sich zwingend aus Artikel 11 EU-DSRL. Sie er- 
setzt die bisherige Regelung in § 33 BDSG. Absatz 2 
Nr. 6 ist eine zwingende Folgeregelung zu § 45. 

Immer wieder ereignen sich Fälle, in denen die verar- 
beitende Stelle die Unzulässigkeit ihrer Datenverar- 
beitung feststellt, ohne daß die betroffenen Personen 
hierüber informiert werden, auch wenn für diese ein 
Schaden droht oder entstanden ist, z. B. im Bereich 
der Personaldatenverarbeitung. Hier müssen die Be- 
troffenen in den Stand gesetzt werden, ihre Rechte 
wahrzunehmen, so wie dies § 19 DSG MV vorsieht 
(Absatz 3). Die Unterrichtungspflicht sollte nicht Drit- 
ten (z. B. den Datenschutzkontrollinstanzen), son- 
dern der verarbeitenden Stelle auf erlegt werden. 


Zu § 25 [Datenkorrektur (Berichtigung, Sperrung, 
Löschung)] 

Der Begriff der Datenkorrektur wird im Interesse der 
vereinfachten Lesbarkeit des Gesetzes eingeführt. 
Die Regelung faßt entsprechend dem Auftrag von Ar- 
tikel 12b EU-DSRL die bisherigen §§20 und 35 
BDSG zusammen und entschlackt sie von überflüssi- 
gen Ausnahmeregelungen. Der Anspruch auf Berich- 
tigung nach Absatz 1 faßt die Regelungen des § 20 
Abs. 1, § 35 Abs. 1 BDSG zusammen. Er realisiert die 
Pflicht der verarbeitenden Stellen nach Artikel 6 
Abs. 1 Buchstabe d EU-DSRL. Der Anspruch auf Lö- 
schung nach Absatz 2 faßt die Regelungen des § 20 
Abs. 2, § 35 Abs. 2 BDSG zusammen und realisiert 
die entsprechende Pflicht nach Artikel 6 Abs. 1 Buch- 
stabe e EU-DSRL. Die Aktenregelung in § 20 Abs. 1 
und 5 BDSG wird in Absatz 4 zusammengefaßt und 
präzisiert. 

Die Regelung zur Benachrichtigung von Empfängern 
zum Zweck der Datenkorrektur (Nachbericht) in Ab- 
satz 5 basiert auf Artikel 12 c EU-DSRL. 


Zu § 26 (Recht auf Datensicherung) 

Seit langem wird eine kontroverse Debatte darüber 
geführt, inwieweit die Bürgerinnen und Bürger die 
Befugnis haben, die ihnen verfügbaren technischen 
Datensicherungsmaßnahmen einzusetzen. Teilweise 
wird die Ansicht vertreten, daß die Sicherungsmaß- 
nahmen nur so stark sein dürfen, daß sie von Sicher- 
heitsbehörden durchbrochen werden können. Eine 
solche Regelung, deren tatsächliche Umsetzung fak- 
tisch nicht überwach- und durchsetzbar ist, hätte 
zwangsläufig zur Folge, daß faktisch auch kein 
Schutz vor Angriffen durch Dritte möglich wäre. Da- 
tensicherungsmaßnahmen können nicht künstlich 
auf einen bestimmten Stand festgeschrieben werden, 
da die rasante technische Entwicklung hierüber hin- 
weggehen würde. Es wird ein subjektives Recht auf 
Datensicherung festgeschrieben. Davon unberührt 
bleibt die gesetzliche Befugnis von Sicherheitsbehör- 
den, Datenträger zu beschlagnahmen oder die Da- 
tenkommunikation abzuhören. 


Zu § 27 (Anrufung der Datenschutzkontrollinstanz) 

Die Regelung entspricht § 21 Satz 1 BDSG und wird 
erweitert auf den Bereich der Aufsichtsbehörden. Sie 
entspricht den Anforderungen des Artikels 28 Abs. 4 
Satz 1 und 2 EU-DSRL. 

Zu § 28 (Widerspruchsrecht) 

Artikel 14 a EU-DSRL sieht dieses Recht auf Wider- 
spruch gegen Maßnahmen der Datenverarbeitung 
vor. 

Zu § 29 (Schadensersatz) 

Artikel 23 EU-DSRL macht die Haftung bei rechts- 
widriger Datenverarbeitung weder von der Anwen- 
dung eines automatisierten Verfahrens noch von der 
nach § 823 BGB erforderlichen Schuldhaftigkeit ab- 
hängig. Die bestehenden Schadensersatzregelungen 
(§§ 7, 8 BDSG) werden entsprechend angepaßt, wo- 
bei auch nicht mehr zwischen öffentlichen und nicht 
öffentlichen Stellen unterschieden wird. Aus Sicht 
der Geschädigten ist es unerheblich, ob eine durch 
Datenverarbeitung bedingte Schädigung durch eine 
Behörde oder durch Private erfolgt. Außerdem wird 
die Pflicht zum Ersatz eines immateriellen Schadens 
im Gesetz festgelegt, ohne daß eine schwere Verlet- 
zung des Persönlichkeitsrechtes nachgewiesen wer- 
den müßte (Absatz 1 Satz 2). Die Regelung ist geeig- 
net, die verarbeitenden Stellen zur Rechtmäßigkeit 
anzuhalten. Bisher war es den Betroffenen oft äußerst 
schwer, einen materiellen Schaden bzw. einen 
schwerwiegenden immateriellen Schaden nachzu- 
weisen. Dies ist nach § 29 nicht mehr nötig. 

Zu § 30 (Einsatz automatisierter Abruf- und 
Verbundverfahren) 

Die Regelung entspricht § 10 BDSG. Neben den her- 
kömmlichen Abrufverfahren gibt es immer mehr Ver- 
bundverfahren, bei denen mehrere Stellen in einem 
gemeinsamen Datenbestand die Verarbeitung perso- 
nenbezogener Daten durchführen. Die Regelung 
wird auf diese ebenso riskante Verfahrensart ausge- 
weitet. 

Die Benennung einer Stelle, gegenüber der Betroffe- 
nenrechte insgesamt geltend gemacht werden kön- 
nen (Absatz 2 Satz 2 Nr. 2), erleichtert den betroffe- 
nen Personen die Übersicht und die Durchsetzung 
ihrer Rechte (vgl. § 22 Abs. 1). Die gerichtliche Gel- 
tendmachung der Rechte hat gegenüber der verar- 
beitenden Stelle bzw. den verarbeitenden Stellen zu 
erfolgen. 

Zu § 31 Abs. 1 bis 4 (Auftragsverarbeitung) 

Die Regelung entspricht dem § 11 BDSG. Sie setzt 
die Vorgaben der Artikel 16 und 17 Abs. 2 und 3 EU- 
DSRL um. Die gegenüber § 11 Abs. 3 Satz 2 BDSG 
verschärfte Hinweispflicht in Absatz 3 Satz 2 basiert 
auf der Erfahrung, daß der Auftragnehmer regelmä- 
ßig überlegene Kenntnisse bez. der technischen Vor- 
aussetzungen der Datenverarbeitung als auch bez. 
des Datenschutzrechts hat. Es soll gewährleistet wer- 
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den, daß der Auftraggeber über mögliche Rechtsver- 
stöße auch tatsächlich hingewiesen wird. 

Zu § 31 Abs. 5 (Externe Wartung) 

Die rechtliche Einordnung der externen Wartung 
bzw. Systembetreuung durch eine andre als die ver- 
arbeitende Stelle ist bis heute rechtlich umstritten. 
Daher bedarf es einer Klarstellung. Diesem Bedürfnis 
wurde z. B. in Brandenburg nachgekommen (§ 11a 
BbgDSG). Es wird sichergestellt, daß geeignetes Per- 
sonal eingesetzt und eine Kontrollmöglichkeit eröff- 
net werden. Der Formulierungsvorschlag orientiert 
sich am Tendenzpapier des von der Konferenz der 
Datenschutzbeauftragten des Bundes und der Län- 
der am 26./27. Oktober 1993 beauftragten Ge- 
sprächskreises (XII. TB LfD Nds., S. 277; vgl. 15. TB 
LfD Bremen, S. llf.). Die Regelung erlaubt im Rah- 
men der Erforderlichkeit auch die Kenntnisnahme 
von besonders sensiblen Daten. Die Daten unterhe- 
gen einer strengen Zweckbindung (§ 10 Abs. 1). Die 
hierbei tätigen Personen unterliegen dann als Hilfs- 
personen der Geheimhaltungspflicht (Berufsgeheim- 
nis, Datengeheimnis). Ein Verstoß hiergegen führt 
für sie als Hilfspersonen (§ 203 Abs. 3 StGB) sowie als 
datenverarbeitende Personen (§ 54) zur straf rechtli- 
chen Verantwortlichkeit. 


Zu § 32 (Einsatz mobüer personenbezogener 
Speicher- und Verarbeitungsmedien) 

Die neue Chipkartentechnologie wirft datenschutz- 
rechtliche Probleme auf, auf die das aktuelle Daten- 
schutzrecht keine Antwort gibt. Es ist daher eine 
neue Regelung erforderlich, die die datenschutz- 
rechtliche Verantwortlichkeit aller Beteiligten fest- 
legt und den einzelnen vor unfreiwilliger Preisgabe 
seiner Daten schützt. Die Regelung gewährt im Inter- 
esse informationeller Selbstbestimmung für die Be- 
troffenen ein Mindestmaß an Transparenz, Freiwillig- 
keit und die Wahlmöglichkeit einer anonymen Alter- 
native. Chipkarten sind nur die am stärksten verbrei- 
tete Technologie von mobilen Speicher- und Verar- 
beitungsmedien, die automatisiert mit Lese- und 
Schreibgeräten kommunizieren. Andere Beispiele 
sind sog. Smart Cards oder „Persönliche Digitale As- 
sistenten". Die Regelung versucht, absehbare techni- 
sche Entwicklungen mit zu berücksichtigen (vgl. 
16. TB BfD 1995/96, 1.4). 

Es war bisher unklar, wer beim Chipkarteneinsatz als 
verarbeitende Stelle anzusehen ist. Dies wird in Ab- 
satz 1 klargestellt. In Absatz 2 wird eine Quittie- 
rungspflicht in das Gesetz aufgenommen. Elektroni- 
sche Systeme sind niemals fehlerfrei. Den betroffe- 
nen Personen muß die Möglichkeit gegeben werden, 
Verarbeitungsfehler nachzuweisen. Diese Notwen- 
digkeit besteht vor allem, wenn die Betroffenen 
durch die elektronische Form der Datenerhebung 
keinen sonstigen Nachweis, z. B. in Form eines For- 
mulars oder eines Antrags, vorhegen haben oder 
wenn die Datenerhebung gar keine bewußte Mitwir- 
kungshandlung der Betroffenen erfordert. 

Beim Chipkarteneinsatz gibt es regelmäßig eine grö- 
ßere Anzahl von verarbeitenden Stellen. Es ist den 


betroffenen Personen nicht zuzumuten, ihr Aus- 
kunftsrecht einzeln gegenüber jeder dieser Stellen 
geltend zu machen. Daher sieht Absatz 3 ein konzen- 
triertes Verfahren vor. Zugleich muß sichergestellt 
werden, daß über die Wahrnehmung des Auskunfts- 
rechtes nicht andere als die betroffene Person und 
die verarbeitende Stelle von der Datenspeicherung 
Kenntnis erlangen. 

Wegen der Flüchtigkeit des Speicherungsvorgangs 
bei mobilen Kleinrechnern besteht die Gefahr, daß 
das Einholen der Einwilligung nur noch zu einer 
technisch vollzogenen Formsache wird. Um dies zu 
verhindern, muß von der Speicherung eine umfas- 
sende Information der Betroffenen erfolgen. Die Frei- 
willigkeit wird durch ein Diskriminierungsverbot bei 
Nichtnutzung von mobilen Kleinrechnern sicherge- 
stellt (Absatz 4). 

Zu § 33 (Videoüberwachung) 

In ihrer Entschließung hat die DSB-Konferenz am 
14. /15. März 1996 generelle Regelungen zur Video- 
Überwachung angemahnt. Die Regelung entspricht 
inhaltlich weitgehend § 32 LDSG SH und § 33 c 
BbgDSG. Es soll gewährleistet werden, daß die durch 
Videotechnik erfolgende optische Überwachung öf- 
fentlicher Räume eingegrenzt wird. Die Norm diffe- 
renziert zwischen der reinen Erhebung (Beobach- 
tung) und der anschließenden Speicherung. Eine 
akustische Überwachung als andersartiger und 
zumeist schwerwiegenderer Eingriff bleibt ohne 
ausdrückliche gesetzliche Regelung unzulässig (vgl. 
16. TB BfD 1995/96, 1.4). 

Zu § 34 (Anwendungsbereich) 

Absatz 1 ist identisch mit § 12 Abs. 1 BDSG; Absatz 2 
ist identisch mit § 12 Abs. 3. Die Regelung des § 12 
Abs. 2 wurde durch Erlaß von Landesdatenschutzge- 
setzen obsolet. § 12 Abs. 4 wird durch die spezielle 
Regelung der Datenverarbeitung bei Beschäfti- 
gungsverhältnissen (§ 50) überflüssig. 

Zu § 35 (Zulässigkeit der Verarbeitung) 

Die Regelung ersetzt den bisherigen § 14 BDSG. Der 
Gehalt des § 14 Abs. 1 BDSG ist nunmehr in § 9 Abs. 1 
geregelt. § 14 Abs. 2 BDSG war wegen seiner Unbe- 
stimmtheit verfassungsrechtlicher Kritik ausgesetzt. 
Entsprechend den Vorgaben von Artikel 7 a bis f EU- 
DSRL erfolgt eine präzise bestimmte, eingegrenzte 
Regelung, wie sie auch in einigen Ländern besteht 
(vgl. § 10 Abs. 2 NDSG). Bei der Datenerhebung ist zu- 
sätzlich § 6 zu beachten. 

Zu § 36 (Übermittlung innerhalb des öffentlichen 
Bereichs) 

Die Regelung ersetzt § 15 BDSG. Dessen Absatz 2 
(Verantwortlichkeit) findet sich in § 7 sowie in § 30 
Abs. 4 (automatisiertes Abrufverfahren) wieder. Des- 
sen Absatz 3 (Zweckbindung) wird ersetzt durch § 9 
Abs. 1. Auf eine Übermittlungssonderregelung an 
öffentlich-rechtliche Religionsgesellschaften (§ 15 
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Abs. 4 BDSG) kann verzichtet werden. Derartige Re- 
ligionsgesellschaften gelten als nicht öffentliche Stel- 
len (§ 2 Abs. 4 S. 2). Einen praktischen Bedarf für 
eine § 15 Abs. 4 BDSG entsprechende Regelung be- 
steht neben speziellen Regelungen (z. B. im Melde- 
und im Steuerrecht) nicht. 

Absatz 2 (verbundene personenbezogene Unterla- 
gen) entspricht § 15 Abs. 5 BDSG. 

Absatz 3 (Weitergabe innerhalb einer Öffentlichen 
Stelle) entspricht § 15 Abs. 6 BDSG. Eine Datenwei- 
tergabe innerhalb einer öffentlichen Stelle ist wie 
eine Übermittlung zu bewerten. Eine derartige Rege- 
lung hat sich bei Landesdatenschutzgesetzen als not- 
wendig und praktikabel erwiesen (vgl. z. B. § 11 
Abs. 4 NDSG). 


Zu § 37 (Übermittlung an Empfänger außerhalb des 
öffentlichen Bereichs) 

Die Regelung ersetzt § 16 BDSG. Die dort enthalte- 
nen weiten Voraussetzungen werden in Absatz 1 
nach dem Vorbild von Landesdatenschutzgesetzen 
(vgl. z. B. § 13 NDSG) eingeschränkt. § 16 Abs. 2 
BDSG wird in § 7 Satz 1 geregelt. Absatz 2 entspricht 
§ 16 Abs. 4 BDSG. 


Zu § 38 (Rechtsstellung) 

Die Regelung ersetzt die überdetaillierten §§ 22 f. 
BDSG. Zur Sicherstellung der nach Artikel 28 Abs. 1 
EU-DSRL geforderten Unabhängigkeit der Kontroll- 
stelle wird der Bundesbeauftragte und seine Dienst- 
stelle aus dem Bundesministerium des Innern (bisher 
§ 22 Abs. 5 BDSG) ausgelagert und verselbständigt. 
Eine Abs. 1 entsprechende Regelung enthält § 22 
Abs. 2BerlDSG. 


Zu § 39 (Kontrolle durch den Bundesbeauftragten) 

Artikel 28 Abs. 3 erster Spiegelstrich EU-DSRL for- 
dert für die Kontrollstelle umfassende Untersu- 
chungsbefugnisse. Angesichts der zunehmenden 
Automatisierung sind angemessene Zugangsmög- 
lichkeiten für den Bundesbeauftragten sicherzustel- 
len. Dazu gehört auch, daß online bzw. automatisiert 
verfügbare personenbezogene Datenbestände außer- 
halb der verarbeitenden Stelle überprüft werden 
können (Absatz 2). 


Zu § 40 (Beanstandung durch den Bundesbeauf- 
tragten) 

Die Regelung entspricht § 25 BDSG. Das Instrument 
der Beanstandung, verbunden mit der Möglichkeit, 
die Öffentlichkeit über Datenschutzverstöße zu infor- 
mieren (vgl. § 26 Abs. 1 BDSG), hat sich bei der Da- 
tenschutzkontrolle in der Bundesrepublik Deutsch- 
land bewährt. Es handelt sich hierbei um eine „wirk- 
same Einwirkungsmöglichkeit " im Sinne von Arti- 
kel 28 Abs. 3 zweiter Spiegelstrich EU-DSRL. 


Zu § 41 (Weitere Aufgaben und Befugnisse 
des Bundesbeauftragten) 

Die Regelung ersetzt § 26 BDSG. Artikel 28 Abs. 2 
EU-DSRL verlangt eine Absatz 3 entsprechende An- 
hörung der Kontrollstelle auch vor dem Erlaß von 
Rechts- und Verwaltungs Vorschriften. Absatz 4 er- 
möglicht die Kooperation der zuständigen Daten- 
schutzbehörden. 


Zu § 42 (Anwendungsbereich) 

Die Regelung entspricht § 27 BDSG unter Berück- 
sichtigung des in § 1 Abs. 2 und 3 definierten und 
ausgeweiteten Anwendungsbereichs. 

Zu § 43 (Verarbeitung für eigene Zwecke) 

Die Regelung ersetzt die Regelung des § 28 BDSG. 
Wesentliche materielle Veränderungen erfolgen 
nicht. Durch einen überschaubaren Aufbau wird die 
Anwendung erheblich erleichtert. Absatz 1 Nr. 1 
setzt Artikel 7 b EU-DSRL um. Absatz 1 Nr. 2 findet 
seine Entsprechung in Artikel 7 e und f EU-DSRL. Da 
die listenmäßige Datenverarbeitung nach § 28 Abs. 2 
Satz 1 Nr. 1 Buchstabe b BDSG, die auf eine be- 
grenzte Privilegierung des einfachen Adressenhan- 
dels bzw. des Direktmarketing abzielt, in diesen 
Bereichen praktisch völlig ihre Bedeutung verloren 
hat, wird diese Regelung gestrichen. Bezüglich der 
äußerst problematischen Nutzung für Zwecke der 
Werbung und der Markt- und Meinungsforschung 
(bisher § 28 Abs. 3 BDSG) erfolgt eine Sonderrege- 
lung in § 46. Auf die Forschungsregelung in § 28 
Abs. 1 Satz 1 Nr. 4 und Abs. 2 Nr. 2 BDSG konnte 
wegen der neuen Regelung des § 51 Abs. 2 Satz 1 
Nr. 3 verzichtet werden. Absatz 2 entspricht § 28 
Abs. 4 BDSG. 


Zu § 44 (Geschäftsmäßige Datenverarbeitung 
zum Zweck der Übermittlung) 

Die Regelung ersetzt inhaltlich unverändert § 29 
BDSG. Auf die Regelung zur listenmäßigen Verarbei- 
tung (§ 29 Abs. 2 Satz 1 Nr. 1 Buchstabe b BDSG) 
wird verzichtet, da diese Regelung ihre frühere prak- 
tische Relevanz verloren hat und diese Alternative 
lediglich als eine Konkretisierung der bisherigen 
Nummer 1 Buchstabe a angesehen werden kann. 

Zu § 45 (Automatisierte Veröffentlichung) 

Die Datenübermittlung an eine unbestimmte Zahl 
von Dritten stellt aus der Sicht des Datenschutzes 
eine völlig neue Qualität dar gegenüber Einzelüber- 
mittlungen. Derartige Übermittlungen erfolgen zu- 
nehmend in automatisierter Form, z. B. auf CD-ROM, 
Disketten oder in automatisiert abrufbaren Verzeich- 
nissen im Internet oder von Online -Diensten. Obwohl 
hierbei regelmäßig gegen die Vorschriften der §§ 29, 
33 BDSG verstoßen wird, expandiert der Markt sol- 
cher Veröffentlichungen (vgl. § 3 Abs. 3 Nr. 5) bisher 
ungehindert. Statt den dauernden Gesetzesverstoß 
hinzunehmen oder durch ein Verbot ein Ausweichen 
von Anbietern ins Ausland zu ermuntern, zielt die 
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Regelung darauf ab, die Veröffentlichung einerseits 
zuzulassen, zugleich aber geeignete Datenschutz- 
mechanismen zu installieren. Die Regelung korre- 
spondiert mit den neuen Vorschriften im Telekommu- 
nikationsrecht (§ 89 Abs. 8 TKG, § 10 TDSV). Grund- 
lage ist ein Einwilligungsmodell (sog. „opt in"). Da 
damit jedoch wegen der Unüberschaubarkeit der 
Weiterverarbeitung und wegen der faktischen Wir- 
kungslosigkeit eines Widerrufs der Einwilligung auf- 
grund erfolgter Weiterübermittlungen für die Betrof- 
fenen die informationelle Selbstbestimmung verlo- 
rengehen kann, wird dieses Modell durch eine indi- 
viduelle wie auch eine generelle Widerspruchsmög- 
lichkeit ergänzt (sog. „opt out"). Der individuelle 
Widerspruch erfolgt gegenüber der verarbeitenden 
Stelle (Absatz 4), während der generelle Wider- 
spruch über eine beim Bundesbeauftragten geführte 
Widerspruchsliste erfolgt, die vor der Veröffentli- 
chung abgeglichen werden muß (Absatz 2). Damit 
wird die vom Deutschen Direktmarketing Verband 
(DDV) initiierte Idee der „Robinsonliste" auf eine 
verbindliche Basis gestellt. Über das vom Bundesbe- 
auftragten zu führende Verzeichnisregister können 
sich die Bürgerinnen und Bürger darüber informie- 
ren, wo u. U. Daten über sie verarbeitet werden. Dies 
schafft die für die Betroffenen notwendige Transpa- 
renz, die aus tatsächlichen Gründen mit einer Be- 
nachrichtigung allein nach § 24 Abs. 1 nicht mehr er- 
reicht werden kann. 


Zu § 46 (Datenverarbeitung zum Zweck 
der Werbung und der Markt- und 
Meinungsforschung) 

Die Regelung ersetzt den bisherigen § 28 Abs. 3 
BDSG und erweitert ihn, soweit sich in der Praxis 
Vollzugsdefizite erwiesen haben (vgl. XIII. TB LfD 
Nds. 1995/96, 154 f.). Dabei wird ein der elektroni- 
schen Veröffentlichung vergleichbares Instrumenta- 
rium zum Einsatz gebracht. Insofern kann auf die Be- 
gründung zu § 45 verwiesen werden. An die Stehe 
der Widerspruchsliste tritt die Werbestoppliste. Es 
bedarf der Differenzierung zwischen diesen beiden 
Listen, da den Betroffenen die Wahlmöglichkeit ge- 
geben werden muß, einerseits über elektronische 
Verzeichnisse ihre Erreichbarkeit sicherzustellen 
bzw. zu unterbinden, andererseits Werbung zu erhal- 
ten bzw. davon verschont zu bleiben. Die Regelung 
der Absätze 1 und 2 setzt Artikel 14 b EU-DSRL um 
(vgl. 16. TB BfD 1995/96, 1.4). 

Die Information der beworbenen Personen schafft für 
diese die erforderliche Transparenz. Der Hinweis auf 
das Widerspruchsrecht wird von Artikel 14 Satz 2 
EU-DSRL gefordert. 

Absatz 4 enthält den wesentlichen Regelungsgehalt 
des bisherigen § 30 BDSG. 

Zu § 47 (Verarbeitung besonderer Kategorien 
von Daten) 

Die Regelung steht, vergleichbar mit § 28 Abs. 2 
Satz 2 BDSG klar, daß bei bestimmten Datenkate- 
gorien (sog. sensible Daten) der Verarbeitung grund- 
sätzlich schutzwürdige Interessen der Betroffenen 


entgegenstehen. Damit wird dem Schutzgedanken 
des Artikels 8 EU-DSRL entsprochen. Davon unbe- 
rührt bleibt die begrenzte Zulässigkeit der Daten- 
übermittlung bzw. Zweckänderung nach § 12. 

Zu § 48 (Aufsichtsbehörde) 

Aufsichtsbehörden sind Datenschutzkontrohinstan- 
zen gemäß § 3 Abs. 7 und Kontrollstellen im Sinne 
von Artikel 28 EU-DSRL. Die nach Artikel 28 Abs. 3 
EU-DSRL geforderten Untersuchungsbefugnisse sind 
in den Absätzen 2 und 3 geregelt, die „wirksamen 
Einwirkungsbefugnisse" in Absatz 4. Die bisherige 
völlige Sanktionslosigkeit bei materiell-rechtlichen 
Datenschutzverstößen konnte nicht beibehalten wer- 
den. Insofern wird sowohl ein Feststehungsrecht (Ab- 
satz 4 Satz 1 Nr. 2) als auch bei Nichtbeseitigung des 
Mangels ein Untersagungsrecht (Absatz 4 Satz 2) 
eingeführt. Als weitere Einwirkungsbefugnisse - zu- 
gleich „ Klagerecht " bzw. Anzeigebefugnis im Sinne 
der EU-DSRL - besteht die Möglichkeit der Verfol- 
gung als Ordnungs Widrigkeit (§ 55) als auch die der 
Einschaltung der Strafverfolgungsbehörden (§ 53). 

Um eine möglichst effektive Datenschutzkontrolle zu 
gewährleisten, nehmen Landesbeauftragte für den 
Datenschutz seit mehreren Jahren in Hamburg, Bre- 
men und Niedersachsen auch die Aufgaben der Auf- 
sichtsbehörde im nicht öffentlichen Bereich nach § 38 
BDSG wahr. Diese Zusammenfassung des Daten- 
schutzes in einer Hand hat sich bewährt (XII. TB LfD 
Nds. 1993/94, S. 233 ff.). Diesen Vorbüdern schließen 
sich andere Länder an (z. B. seit August 1995 Berlin). 
Hinzu kommt, daß die Landesbeauftragten im höhe- 
ren Maße die von Artikel 28 Abs. 1 Satz 2 EU-DSRL 
geforderte „völlige Unabhängigkeit" auf weisen als 
Teüe eines Ministeriums oder einer Bezirksregie- 
rung/eines Regierungspräsidiums. Dessenungeach- 
tet bleibt im Rahmen der EU-Vorgaben die Kompe- 
tenz der Länder bestehen, die die zuständigen Auf- 
sichtsbehörden selbst bestimmen (Absatz 5 Satz 3; 
bisher § 38 Abs. 6 BDSG). Für die Länder bietet es 
sich aber an, die Aufgaben der Aufsichtsbehörden 
den unabhängigen Landesbeauftragten für den Da- 
tenschutz zu übertragen. 

Zu § 49 (Verhaltensregeln) 

Artikel 27 EU-DSRL sieht vor, daß die Mitgliedstaa- 
ten und die Kommission die Ausarbeitung von Ver- 
haltensregeln unterstützen und daß Entwürfe den 
zuständigen Stellen vorgelegt und von diesen ge- 
prüft werden können. 

Zu § 50 (Datenverarbeitung bei Beschäftigungs- 
verhältnissen) 

Seit Jahren ist unstreitig, daß es eines spezifischen 
Gesetzes zur Regelung des Arbeitnehmer-Daten- 
schutzes bedarf (vgl. Bundesregierung, Drucksache 
12/2948). Inzwischen gibt es im Beamtenrecht Rege- 
lungen zum Datenschutz. Ein Arbeitnehmer-Daten- 
schutzgesetz steht aber weiterhin aus. Die Regelung 
enthält einige wesentliche Aussagen zu diesem Be- 
reich. Sie orientieren sich an entsprechenden Rege- 
lungen der Landesdatenschutzgesetze (z. B. § 25 
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NDSG). Die Norm soll als Übergangsregelung bis zur 
Verabschiedung eines umfassenden Gesetzes ver- 
standen werden. 

Zu § 51 (Datenverarbeitung zum Zweck 
Wissens chaftlicher Forschung) 

Die EU-DSRL regelt an verschiedenen Stellen eine 
Sonderbehandlung der Datenverarbeitung für wissen- 
schaftliche Forschungszwecke (z. B. Artikel 6 Abs. 1 
Buchstabe e Satz 2, Artikel 11 Abs. 2, Artikel 13 
Abs. 2). Die bisher in § 4 Abs. 3, § 14 Abs. 2 Nr. 9, § 28 
Abs. 1 Satz 1 Nr. 3 und Abs. 2 Nr. 2 , § 40 BDSG ver- 
streuten Regelungen werden zusammengeführt und 
dadurch einfacher handhabbar. Wesentliche materielle 
Änderungen ergeben sich hieraus nicht. § 51 ent- 
spricht der Regelung der meisten Landesdatenschutz- 
gesetze (z. B. § 25 Abs. 2 Nr. 3 NDSG), so daß bei län- 
derübergreifenden Forschungsprojekten weitgehend 
einheitliche Standards beachtet werden müssen. 

Bei der Regelung wissenschaftlicher Forschung ist 
neben den Grundrechten der Betroffenen die For- 
schungsfreiheit gemäß Artikel 5 Abs. 3 GG zu beach- 
ten. Dem wird die Abwägungsklausel in Absatz 2 
Nr. 3 gerecht. 

Zu § 52 (Datenverarbeitung durch die Medien) 

Artikel 9 EU-DSRL sieht eine Privilegierung der Ver- 
arbeitung personenbezogener Daten vor, die allein 
zu journalistischen, künstlerischen oder literarischen 
Zwecken erfolgt. Diese Abweichungen und Ausnah- 
men dürfen sich aber nur auf Fragen der Zulässig- 
keit, der Information der betroffenen Person und der 
Einschränkung der Auskunft beziehen. Derartige 
Einschränkungen kommen auch nur insofern in Be- 
tracht, „als sich dies als notwendig erweist, um das 
Recht auf Privatsphäre mit den für die Freiheit der 
Meinungsäußerung geltenden Vorschriften in Ein- 
klang zu bringen". 

Diesen Anforderungen genügt der bisherige § 41 
BDSG nicht. Abgesehen von der grundlosen Privile- 
gierung von Adressen- und vergleichbaren Verzeich- 
nissen mit journalistischen Anteilen werden die Me- 
dien bisher vom Datenschutz, abgesehen von der 
Gewährleistung der Datensicherheit, fast völlig frei- 
gestellt. 

Die Privilegierung des § 52 bezieht sich nur auf die 
journalistisch-redaktionelle Datenverarbeitung. Die 
Verarbeitung der Medienuntemehmen in Verwal- 
tungsangelegenheiten richtet sich nach den allge- 
meinen Grundsätzen. An die Stelle der Datenschutz - 
kontrollinstanz tritt ein Medien-Datenschutzbeauf- 
tragter, dessen Ausgestaltung sich am betrieblichen 
bzw. behördlichen Datenschutzbeauftragten orien- 
tiert. Dieser Mechanismus einer internen Kontrolle 
hat sich bisher bewährt. 

Entsprechend der zwingenden Regelung des Arti- 
kels 12 i.V. m. Artikel 9 EU-DSRL wird in Absatz 3 
eine Auskunftsregelung übernommen, die den Rege- 
lungen bestehender Mediengesetze entspricht. 

Die derzeitige Praxis der zeitlich unbegrenzten elek- 
tronischen Veröffentlichung von Medienarchiven 


verstößt gegen den auch im journalistischen Bereich 
zu beachtenden Grundsatz, daß es eine „Gnade des 
Vergessens" geben müsse. Diesen Grundsatz hat das 
BVerfG ausdrücklich in seiner Lebach-Entscheidung 
betont (BVerfG, NJW 1973, 1226). Daher wird der Zu- 
gang zu Pressearchiven und die sonstige Veröffentli- 
chung bei Berichten, die älter als fünf Jahre sind, in 
Absatz 4 eingegrenzt. Dies schließt jedoch die Nut- 
zung im privaten Bereich ebenso wenig aus als die 
Nutzung dieser Archive, wenn ein berechtigtes Inter- 
esse besteht. 

Zu § 53 (Unterrichtung der Staatsanwaltschaft) 

Datenschutzstrafrecht spielte bisher keine wesentli- 
che Rolle bei der Durchsetzung des Rechts auf infor- 
mationelle Selbstbestimmung. Schon bisher war es 
unbestritten, daß die Kontrollstellen die Befugnis ha- 
ben, die Strafverfolgungsbehörden über möglicher- 
weise strafbare Sachverhalte zu unterrichten. In Er- 
mangelung einer ausdrücklichen Regelung und an- 
gesichts der zwingenden Vorschrift des Artikels 28 
Abs. 3 dritter Spiegelstrich EU-DSRL wird dies nun 
ausdrücklich festgestellt. Mit dieser Regelung steht 
auch dem Bundesbeauftragten eine „Anzeigebefug- 
nis" zu. 

Zu § 54 (Strafvorschriften) 

Artikel 28 Abs. 3 dritter Spiegelstrich EU-DSRL for- 
dert Sanktionsmöglichkeiten bei Datenschutz versto- 
ßen. Diese müssen jedoch nicht strafrechtlicher Art 
sein. Daher verfolgt § 54 - dem Vorbild von Landes - 
regelungen folgend (z. B. § 28 NDSG) - eine Ent- 
kriminalisierung weniger schwerwiegender Daten- 
schutzverstöße. Diese bleiben als Ordnungs Widrig- 
keit (§ 55) verfolgbar. Als völlig unangemessene Ver- 
folgungsvoraussetzung wird das in § 43 Abs. 4 BDSG 
normierte Antragserfordernis gestrichen. Daten- 
schutzverstöße verletzen nicht nur Individualrechts- 
güter bzw. die individuellen Grundrechte, sondern 
stellen regelmäßig auch eine Beeinträchtigung öf- 
fentlicher Belange dar. Zudem hat die kurze Antrags- 
frist und die Unkenntnis der Betroffenen von dieser 
Frist immer wieder dazu geführt, daß wegen Fristab- 
laufs auch schwerwiegende Verstöße nicht verfolgt 
werden konnten. Der Strafrahmen von § 43 Abs. 3 
wird beibehalten. 

Zu § 55 (Ordnungswidrigkeiten) 

Soweit Datenschutzverstöße nicht mehr strafbar sind, 
werden sie nach Absatz 1 Nr. 1 und 2 zur Ordnungs- 
widrigkeit. Der Bußgeldrahmen wird angesichts der 
möglichen Bedeutung der Verstöße gegenüber § 44 
Abs. 2 BDSG von 50 000 DM auf 100 000 DM hoch- 
gesetzt. 

Zu § 56 (Übergangsvorschrift) 

Die Übergangsregelung ist notwendig, da mit der 
Novellierung des BDSG nicht zugleich die gesamten 
bereichsspezifischen Bundesregelungen überarbeitet 
werden können, die sich noch an der alten Termino- 
logie des BDSG 1990 orientieren. 
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